DoD Enterprise DevSecOps Reference Design from the DoD CIO – A Summary Content referenced from: https://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference %20Design%20v1.0_Public%20Release 0_Public%20Release.pdf?ver=2019-09-26-115824-583 DevSecOps – Defined by DoD CIO DevSecOps is an organizational software engineering culture and practice that aims at unifying software development (Dev) characteristic of DevSecOps is to automate, monitor, and apply security at all phases of the software lifecycle: plan, develop, build, test, release, deliver, deploy, operate, and monitor. In DevSecOps, testing

中国移动磐舟DevSecOps 平台云原生安全实践 刘斌 中国移动信息技术中心 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps平台定位 基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从 “需求-开发-测试 • 沉淀IT软件资产，核心代码掌控 • 提升开发交付效率 一键 上磐基 构建 打包 容器 化镜 像 自动化 部署 研发安 全扫描 需求 设计 敏捷 开发交付协同 云原生DevSecOps 安全工具链 国产化 双平面调度 敏捷开 发过程 统一代 码仓库 依赖制 品仓库 统一 镜像库 云原生 验证环境 磐基 生产运行 核心价值 核心能力 灵活的低代码能力 1，00000000000 系统 国家 稳定 发展 健康 财富 安全 创新 安全的重要性 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps安全能力建设框架 安全开发 • • • 安全测试 • • • 安全管控 • • • 安全运营 • •

©2019 VMware, Inc. 21 安全團隊的角色十分重要! 更應該從一開始設計時就加入 企業所有團隊的思維都需要從DevOps進化為DevSecOps ​方法論: DevOps  DevSecOps ​DevSecOps的指導原則: • 團隊/社群而非個人 (Team/Community, not a person) • (自動化與自主性安全 (Automated 的安全強化即使不敢稱完美，但確實也是相當值得參考的範本  您的開源 Kubernetes 環境當然可以按照優秀範本做 – 當然我們建議是讓 VMware 幫您做  最困難的部分是 3個P，最理想的境界是DevSecOps，這個實在沒有辦法單靠產品了... Key Take-Aways 總結 ©2019 VMware, Inc. 23 ©2019 VMware, Inc. Thank You!

标准化能力-承载无忧-E2E云原生纵深安全保障DevSecOps-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 RASP应用安全、数据安全、态势感知与风险隔离 由于云原生托管的应用是碎片化的，环境变化也是碎片化的，而且其业务类型越来越多，比如已经延展到边 缘计算盒子 以交于线上安全防御系统。提高了整体实施 效率！ 安全编排自动化和响应作为连接各个环 节的桥梁，安全管理人员或者部分由 AIOps组件可以从全局视角观察，动态 调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等）

number of options. “K3s has been a foundational piece—giving us the automated cloud to edge DevSecOps capability we needed. It allows us to do updates with different deployment strategies and operate quick to emphasize that, “K3s has been a foundational piece—giving us the automated cloud to edge DevSecOps ca- pability we needed. It allows us to do up- dates with different deployment strategies and operate streamlined container images in multiple flavors. Why? In designing the architecture and the DevSecOps pipeline estate, having a variety of container images would sup- port multiple specific architectures

VMware 数据解决方案 - 产品概述 © 在数据如此分散的情况下，企业如何能加速增长和扩大规模？ 分布的数据 客户 分布式工作团队 分布式应用 分布式的 “云”计算基础设施 © DevSecOps Transformation • 对于开发部门来说， 更快、更频繁地将 代码持续交付到生 产环境平台和实践 中，进行快速的迭 代和更新 Infrastructure Transformation Transformation • 通过在现代基础设 施的安全组件，增 强平台的安全弹性 来帮助客户维持业 务连续性 Data Transformation 企业如何定位未来架构 © DevSecOps Transformation • 对于开发部门来说， 更快、更频繁地将 代码持续交付到生 产环境平台和实践 中，进行快速的迭 代和更新 Application Transformation

•去中心化，稳定性和可用性增强； •更高效的代码协同机制； •典型产品：GitHub、GitLab、 Gitea。 分布式代码管理 基于 Git 的分布式 代码托管 具备 DevSecOps 延伸能力 Gitea 是谁？ • 2016 年 11 月 fork 自 gogs，开始独立发展； • 基于 MIT 开源协议； • 贡献者累计超过 1000 人； • 安装基数约 40 累计超过 3 亿次。 注：GitHub Star 数量统计截至 2023 年 11 月。 Star 39,000+ 接近 GitHub 使用体验、可私有化部署的新一代的代码托管平台 DevSecOps 延伸能力 CI / CD 包/发布管理 依赖项扫描 百科管理 项目管理 其他能力… 合并请求 代码审查 分支管理 代码仓库 Git代码托管 核心能力 新一代的代码托管平台

化到云原生化 三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全 能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段， 如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色 部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖 DevSecOps 中运营阶段的能力。 云原生安全威胁分析与能力建设白皮书 13 图 3 云原生安全框架

founded on open source software and modern cloud-native practices. Along the way, they have kept DevSecOps as their top priority. To make this transformation possible, they leveraged the platform approach for development and monitoring. With RBAC, SSO, and Git’s version control, you can make core DevSecOps practices the norm without any added effort. Leverage Flagger and a service mesh tool to execute

into your CI/CD process brings in security earlier in the process. This methodology is known as DevSecOps [8.7]. Base Image Selection Base image selection is an important factor in security. It’s a lot com/en/resources/advanced-cluster-security-for- kubernetes-datasheet [8.7] https://developers.redhat.com/topics/devsecops/ [8.8] https://developers.redhat.com/blog/2021/04/13/how-to-pick-the-right- container-base-image