# DoD Enterprise DevSecOps Reference Design from the DoD CIO – A Summary Content referenced from: https://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference%20Design%20v1.0 the Special Advisor to the Undersecretary for Acquisition and Sustainment for Cloud Security and DevSecOps at OSD. He was the Special Advisor for Cybersecurity at the Department of Homeland Security and companies. Chaillan is recognized as a pioneer of the computer language PHP. ## DevSecOps – Defined by DoD CIO DevSecOps is an organizational software engineering culture and practice that aims at unifying

## 中国移动磐舟DevSecOps 平台云原生安全实践 刘斌 中国移动信息技术中心 ## 目录 ## 目录 CONTENT 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 ## 磐舟DevSecOps平台定位 基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从“需 沉淀IT软件资产，核心代码掌控 • 开发过程自主可控 • 提升开发交付效率 一键发布上磐基，实现“乘舟上云，稳如磐基” ## 构建打包 容器化镜像 自动化部署 研发安全扫描 需求设计 ## 云原生DevSecOps 安全工具链 敏捷 开发交付协同 敏捷开发过程 统一代码仓库 ## 一 键上磐基 依赖制 品仓库 ## 国产化 双平面调度 统一镜像库 云原生 验证环境 磐基 生产运行 0000000000 国家 稳定 发展 人 健康 财富 系统 安全 创新 ## 目录 ## 目录 CONTENT 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 ## 磐舟DevSecOps安全能力建设框架 ## 一 个体系、两个方向、四个环节 ## 安全开发 安全需求分析 SCA • SAST ## 安全测试

·去中心化，稳定性和可用性增强； ·更高效的代码协同机制； ·典型产品：GitHub、GitLab、Gitea。 阶段三 分布式代码管理 基于 Git 的分布式代码托管 具备 DevSecOps 延伸能力 ## Gitea 是谁?  GitHub 使用体验、可私有化部署的新一代的代码托管平台 项目管理 代码仓库 百科管理 分支管理 合并请求 Git代码托管 核心能力 Gitea 新一代的代码托管平台 DevSecOps 延伸能力 CI / CD 包/发布管理 代码审查 依赖项扫描 其他能力... ## 遵循典型的 Git flow 工作流程 ## 为团队和开发人员提供从规划到生产的高效且易用的使用体验

企业如何定位未来架构  ## DevSecOps Transformation - 对于开发部门来说，更快、更频繁地将代码持续交付到生产环境平台和实践中，进行快速的迭代和更新  ## DevSecOps Transformation - 对于开发部门来说，更快、更频繁地将代码持续交付到生产环境平台和实践中，进行快速的迭代和更新 ## Application Transformation

軟體元件分析: Software Component Analysis (SCA) ## 企業所有團隊的思維都需要從DevOps進化為DevSecOps 安全團隊的角色十分重要! 更應該從一開始設計時就加入 方法論: DevOps → DevSecOps DevSecOps的指導原則: • 團隊/社群而非個人 (Team/Community, not a person) • (自動化與自主性安全 的安全強化即使不敢稱完美，但確實也是相當值得參考的範本 ✓ 您的開源 Kubernetes 環境當然可以按照優秀範本做－當然我們建議是讓 VMware 幫您做 ✓ 最困難的部分是 3個P，最理想的境界是DevSecOps，這個實在沒有辦法單靠產品了... Thank You!

4c01a42e0c11dece9f73ed275/p1_2.jpg) 主办方： CLOUD NATIVE ACADEMY 2020 标准化能力—承载无忧—E2E云原生纵深安全保障DevSecOps—1 由于云原生托管的应用是碎片化的，环境变化也是碎片化的，而且其业务类型越来越多，比如已经延展到边缘计算盒子，此时攻击面被放大，在云原生环境下安全是一个核心价值，需要立体纵深式的安全保障。 NetWorking 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任（Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad间授权等）、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、RASP应用安全、数据安全、态势感知与风险隔离 可信计算环境：OS安全、TPM加密、TEE可信环境 硬件与虚拟化厂商提供，如果是HCI架构，作为总体集成方，会降低安全集成成本 线上安全防御系统。提高了整体实施效率！ 安全编排自动化和响应作为连接各个环节的桥梁，安全管理人员或者部分由AIOps组件可以从全局视角观察，动态调整策略，解决新问题并及时隔离或者解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 |技术|说明|优点|缺点| |---|---|---|---| |SAST(静态应用程序安全测试)|白盒测试，通过污点

source technologies." “K3s has been a foundational piece—giving us the automated cloud to edge DevSecOps capability we needed. It allows us to do updates with different deployment strategies and operate to emphasize that, "K3s has been a foundational piece—giving us the automated cloud to edge DevSecOps capability we needed. It allows us to do updates with different deployment strategies and operate minimal streamlined container images in multiple flavors. Why? In designing the architecture and the DevSecOps pipeline estate, having a variety of container images would support multiple specific architectures

了服务器、云化到云原生化三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应 个部分，二维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段，如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖 DevSecOps 中运营阶段的能力。 ![Image](/uploads/documents/8/4/5/4/ |---|---|---| |DDoS|Distributed Denial of Service|分布式拒绝服务| |DevOps|Development Operation|开发、运营| |DevSecOps|Development Security Operation|开发、安全、运营| |DoS|Denial of Service|拒绝服务| |IaC|Infrastructure-as-Code|基础设施即代码|

Of Material）是云原生时代应用风险治理的基础设施。 ## 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； 在云原生应用的开发端及运营端均发挥作用。 ## 实践现状 ## SBOM的应用现状 根据《Anchore 2022 软件供应链安全报告》，尽管 SBOM）？  2022 DevSecOps 行业洞察报告 ## 云原生基于“责任自负”的开源世界 ![Image](/uploads/documents/4/7/9/f/479f6f4cd10c2e8be249f5d2bdcd7a6e/p10_1

founded on open source software and modern cloud-native practices. Along the way, they have kept DevSecOps as their top priority. To make this transformation possible, they leveraged the platform approach |Built-in security guardrails|With RBAC, SSO, and Git's version control, you can make core DevSecOps practices the norm without any added effort.| |Enable progressive delivery|Leverage Flagger and