专场:DevSecOps
DevSecOps基于安全左移的理念,在软件开发过程的前期阶段通过多种DevSecOps技术进行相关的安全控制,安全设计,安全扫描和测试,并且修复安全漏洞。这样不仅可以持续保证应用的安全,并且可以降低返工成本,还可以消除传统安全开发模式限制DevOps模式下快速交付的瓶颈,从而进一步提高企业的竞争力。DevSecOps专场邀请了来自金融行业,互联网行业多家大厂的DevSecOps专家,从多个维度讲解了不同类型的企业如何落地DevSecOps, 以及如何建设 DevSecOps体系。
专场出品人:周纪海
汇丰 科技证券服务技术部门 DevSecOps负责人
英国伦敦帝国理工学院博士毕业,拥有10 余年多家国际大型银行和腾讯的 DevOps 和 DevSecOps 转型和落地的经验。《DevSecOps实战》第一作者,国外金融科技书籍《The Future and Fintech, ABCDI and Beyond》作者之一。曾受邀作为演讲嘉宾和出品人出席30多场技术峰会。
潘万鹏
中兴通讯 终端产品安全总监
中兴通讯终端事业部产品安全总监,负责终端网络安全、数据安全、个人信息保护、开源等工作,重点研究WEB安全、移动安全、IoT安全,自主研发被动式WEB安全扫描工具、移动应用静态扫描器工具、移动应用动态监测工具等,成功申请17篇安全隐私相关专利。
待定
待定
终端隐私合规自动化探索
利用静态扫描、动态监测等手段满足工信部、网信办、公安部等政府部门要求的APP隐私合规专项治理。
内容大纲
1. 隐私合规全球监管要求
2. 隐私合规体系建设
3. 隐私合规融入研发流程
4. 隐私合规静态扫描工具
5. 隐私合规动态监测工具
6. 隐私合规检测未来展望
2. 隐私合规体系建设
3. 隐私合规融入研发流程
4. 隐私合规静态扫描工具
5. 隐私合规动态监测工具
6. 隐私合规检测未来展望
听众收益
1 了解全球隐私合规监管要求;
2 了解隐私合规体系建设;
3 熟悉移动应用隐私合规检测工具;
2 了解隐私合规体系建设;
3 熟悉移动应用隐私合规检测工具;
张恒
腾讯 高级工程师
腾讯安全云鼎实验室高级工程师,目前主要负责腾讯云产品研发安全体系建设,曾先后负责腾讯云高危服务扫描、容器镜像扫描、云服务错误配置检查等甲方安全能力建设工作。
擅长领域:DevSecOps,甲方安全能力建设
待定
待定
腾讯云产品“出厂安全“的落地实践
复杂业务场景下研发安全体系落地适配保障产品安全
内容大纲
1. 腾讯云DevSecOps模型:基于腾讯云复杂业务场景下提炼出的适合云产品的研发安全模型;
2. 落地路径:研发安全模型在腾讯云内部的落地方式和路径,包括安全能力工具建设、选型,研效平台共建和打通,运营推进落地;
3. 效果度量:研发安全效果度量,业务安全建设和安全能力工具量化指标体系;
4. 研发安全细分领域探索:
a. 敏感信息检测:访问认证类敏感信息检测采用正则等规则匹配、AI智能分析等方式的工程化探索;访问认证类凭据源头来解决此类问题的一些思考;
b. 组件漏洞:代码、测试、制品、上线部署等环境均有安全工具提供组件漏洞扫描能力,各阶段安全能力特性分析介绍;各阶段规则策略一致性的思考和探索;
c. 产品端到端生命周期安全:类比传统供应链如食品安全、物流体系等的扫码回溯,产品交付如何实现各环节的安全能力覆盖追踪可视以及上线准入。
2. 落地路径:研发安全模型在腾讯云内部的落地方式和路径,包括安全能力工具建设、选型,研效平台共建和打通,运营推进落地;
3. 效果度量:研发安全效果度量,业务安全建设和安全能力工具量化指标体系;
4. 研发安全细分领域探索:
a. 敏感信息检测:访问认证类敏感信息检测采用正则等规则匹配、AI智能分析等方式的工程化探索;访问认证类凭据源头来解决此类问题的一些思考;
b. 组件漏洞:代码、测试、制品、上线部署等环境均有安全工具提供组件漏洞扫描能力,各阶段安全能力特性分析介绍;各阶段规则策略一致性的思考和探索;
c. 产品端到端生命周期安全:类比传统供应链如食品安全、物流体系等的扫码回溯,产品交付如何实现各环节的安全能力覆盖追踪可视以及上线准入。
听众收益
落地最佳实践与踩坑经验风险
周一帆
汇丰科技中国 高级信息安全分析师
在新加坡和中国拥有多年信息安全及金融科技相关工作经验。近年来先后在汇丰集团的投资银行科技部,信息安全部门担任多个职位。曾参与国内外多项重大信息安全与金融科技项目的实施与部署工作。熟悉DevSecOps方法和工具。目前主要从事应用系统架构安全顾问,风险评估,威胁建模等工作。同时开展在汇丰集团内部的DevSecOps实施工作。国内第一本DevSecOps书籍《DevSecOps实战》作者之一。
待定
待定
进一步左移——架构安全与DevSecOps
往往许多的安全漏洞并非直接产生于开发编码阶段,在软件开发的生命周期中,任何风险与漏洞越早被发现,其修复成本也越低,对产品的整体影响较小。反之,风险与漏洞暴露的越晚,其修复成本越高,修复难度相对于早期来说成指数级增长,牵一发而动全身。因此,我们需要在 DevSecOps 的实施过程中去引入一整套的安全风险评估体系,让安全工作的开展进行更彻底的左移,在项目设计阶段就让安全审查介入,真正意义上去帮助各项目团队实现高质量的持续快速安全的交付。
内容大纲
1. DevSecOps的介绍 - 初步带领大家认识DevSecOps的理念及其在各个领域当中应用的优缺点。
2. OWASP Top 10 - 重点讲解OWASP在发布的最新版中Top 10中加入的不安全的设计这一风险,为大家解析其在应用开发生命周期中的潜在危害和解决方案。
3. 安全风险评估体系的建立 - 基于汇丰及相关金融行业的最新安全风险框架经验,对应不同的应用设计需求,采用不同的风险评估和威胁建模方式去在项目早期介入,包括快速检查表、半自动化及自动化威胁建模平台、风险管理大数据中台等引入。在简化安全审查流程的同时尽可能的提升安全质量,在DevSecOps中实现真正意义上的左移。
4. 案例分析 - 针对DevSecOps中安全风险评估体系的应用,以一个实践案例展开说明。
5. 未来趋势 - 展望与探讨在架构安全与DevSecOps结合的各种新可能。
2. OWASP Top 10 - 重点讲解OWASP在发布的最新版中Top 10中加入的不安全的设计这一风险,为大家解析其在应用开发生命周期中的潜在危害和解决方案。
3. 安全风险评估体系的建立 - 基于汇丰及相关金融行业的最新安全风险框架经验,对应不同的应用设计需求,采用不同的风险评估和威胁建模方式去在项目早期介入,包括快速检查表、半自动化及自动化威胁建模平台、风险管理大数据中台等引入。在简化安全审查流程的同时尽可能的提升安全质量,在DevSecOps中实现真正意义上的左移。
4. 案例分析 - 针对DevSecOps中安全风险评估体系的应用,以一个实践案例展开说明。
5. 未来趋势 - 展望与探讨在架构安全与DevSecOps结合的各种新可能。
听众收益
......
关注QECon公众号
议题投稿
Speaker@qecon.net
票务联系
15901265561 小娟
媒体合作
13516196409 皮皮
商务合作
15122643988 木子