邮储银行基于DevSecOps的数字化转型探索与实践

作者：中国邮政储蓄银行软件研发中心 赵汉杰 项文秀 宋宁 陆绍益 布文秀

随着金融科技的快速发展，银行数字化转型不断提速，以线上化、移动化、开放化为趋势的金融创新产品不断涌现，而与之相伴的各种新渠道、新模式不仅进一步扩大了银行的安全责任和边界，也对研发安全管控的实际效能提出了更高要求。为进一步提升自身的安全合规能力，邮储银行以“十四五”IT规划蓝图为战略指引，创新性开展基于DevSecOps的数字化转型实践，力求以更加安全的科技支撑，赋能银行业务高质量发展。

一、邮储银行DevSecOps转型探索

总体而言，DevSecOps是指将安全活动内置到DevOps软件研发过程的各个阶段，通过综合管理开发（Dev）、安全（Sec）和运营（Ops）三大过程，实现业务功能和安全功能的同步规划、同步建设、同步测试与同步运营，进而推动安全左移，更好赋能业务。为实现上述目标，邮储银行在实践中重点开展了以下八个方面的探索和实践

1.搭建安全管理制度体系

在信息科技风险管理方面，邮储银行依据信息科技风险管理委员会制定的工作规则，严格督促各部门各司其职、协同合作，高效确保了全行安全管理工作的规范性和有序性，为软件研发全流程安全支撑管控体系建设提供了制度保障。在行级领导的协调指导下，邮储银行建立覆盖系统建设管理领域、安全运营领域、数据安全领域和科技风险领域的制度体系，形成了有效的制度支撑。邮储银行信息安全制度体系如图1所示。

图1 邮储银行信息安全制度体系

2.建设DevOps安全工具链

通过在DevOps流水线上集成安全开发组件库、源代码安全扫描工具、灰盒（交互式）安全扫描工具、黑盒应用安全漏洞扫描工具、第三方开源软件管理工具及发布部署管理工具，邮储银行构建了覆盖软件研发全过程的交付工具链，并聚合日志记录、威胁情报、安全设备告警、漏洞、资产、流量等信息，开展安全态势感知和安全事件关联分析预警，搭建了智能化安全运营系统。

3.构建度量指标体系与反馈改进机制

为建设可持续发展的安全管理体系，邮储银行前瞻性打造度量指标体系与反馈改进机制（如图2所示），通过在系统全生命周期各阶段采集指标数据，定期分析度量指标，触发相关改进活动，实现了安全管理流程的持续优化。

图2 度量指标体系与反馈改进机制

4.严控研发过程风险

面向软件研发全生命周期的各个阶段，邮储银行将安全工具链嵌入DevOps流水线，结合安全需求管理、安全设计管理、研发过程管理、安全交付管理、安全运营管理等多个维度，实现了软件研发全流程风险管控。

安全需求方面，邮储银行基于业务需求梳理形成十大典型业务场景，并进一步提出了相应的安全需求；与此同时，通过使用自主研发的“安全管理平台”维护安全需求基线库、关联测试样例，以及将安全需求清单依附于功能点需求，实现了对安全需求的全面管理和跟踪。

安全设计方面，基于全行安全设计规范，邮储银行结合安全需求清单、分级策略、威胁建模结果，拟定了项目级安全设计方案初稿，并经过处室评审、软件研发中心技术委会议评审，最终形成了软件安全设计方案。

安全编码方面，通过设置安全质量门限，遵循组织级安全编码规范，邮储银行在代码提交前即引入了源代码安全检测IDE插件和开源软件安全检测IDE插件进行安全检测，同时在DevOps流水线中使用自动化工具，全方位开展源代码安全检测和开源软件安全扫描。

安全测试方面，结合DevSecOps的理念和策略，邮储银行采用设置安全门禁等措施，实现软件工程安全测试的自动化执行与反馈，并将测试结果与人工分析相结合，通过对安全缺陷进行排查、确认、缓解和修复，实现业务功能和安全功能的同步构建、测试和交付，不仅高效打通了研发团队、安全团队和运维团队的协作壁垒，大幅降低了后期发现漏洞的修复成本及潜在损失，也显著提高了软件交付质量和安全性。

安全运营方面，邮储银行通过打造规范化的安全运营流程，构建安全问题的收集、分类、反馈机制，定期出具安全运营报告，以及借助工具对安全问题进行持续跟踪，实现对运营过程风险的闭环管理。

5.强化数据安全管理

针对数据安全通用管理，邮储银行建立数据安全管理组织架构，在工程建设阶段即对数据进行分类分级，并落实了相应的数据安全防护要求。同时，引入数据安全管理工具，面向不同网络环境提供了差异化的数据安全管控策略，严格执行生产网络、开发测试网络、办公网络隔离。

在数据安全保护领域，邮储银行结合系统研发过程与数据保护要求，建设隐私合规的法律知识库、典型业务场景库和通报案例库，不断完善隐私合规事件的应急响应流程。此外，通过使用合规基线智能识别合规评估要点，凝练用户隐私安全评估的内容和规则，在开展差距分析、识别不合规问题点的基础上，生成评估报告，构建了综合性、标准化的用户隐私安全评估机制。

6.确保供应链安全可控

面向供应链安全，邮储银行制定了第三方安全管理制度，明确外包人员及第三方软件管理要求，引入风险评估和审计、第三方合作应急管理措施，实现对供应链安全风险的主动监测识别（如图3所示）。

图3 邮储银行供应链安全管理策略

7.增强基础设施安全

结合基础设施安全管理领域的一系列规范制度，邮储银行建立了覆盖操作系统、数据库、中间件等多层级的安全基线，并通过定期对基础设施开展安全检查，进行安全基线配置核查，基于工单系统实现了对安全风险的跟踪处理。

8.开展试点项目实践

对标《研发运营一体化能力成熟度模型 第6部分：安全及风险管理》的框架标准，邮储银行选择操作风险管理系统（支持全行操作风险有效管理的工作平台、管理平台和信息分析平台）作为DevSecOps落地试点，将安全要求内建于该项目的开发、交付、运营全过程，有效减少了系统建设过程中的安全威胁，充分满足了数字化转型背景下自身对敏捷项目安全能力快速建设的需要，不仅从组织建设与人员管理、安全工具链、安全基线、数据管理、安全度量等方面为后续开展重点项目建设积累了宝贵经验，也为进一步提升安全研发水平、改善软件交付质量、优化研发管理流程等奠定了坚实基础。

二、DevSecOps推广成效

截至目前，通过应用推广DevSecOps的研究成果，邮储银行已成功在100多个应用系统中使用DevOps工具进行需求管理、组件管理和构建部署，覆盖3000多个代码仓库，组件库中的组件超过220万个，知识库中的知识条数超过42万条，持续集成、持续部署流水线多达2万条，敏捷开发应用迭代安全需求耗时由16小时缩短到9.72小时，安全测试耗时由36小时缩短到29.22小时，在大幅提升安全开发管控效能的同时，切实保证了产品快速交付的安全质量。

基于DevSecOps转型实践，邮储银行从组织文化、体系融合、制度流程和工具建设等多个方面着手，系统开展理论研究、落地实践、效果评估、持续改进、沉淀经验等实践探索，打造具有创新性、科学性、实践性、效益性和示范性的样板工程，大幅提高了应用系统研发的安全合规水平，为银行业务平稳健康发展提供了可靠保障和强力支撑。

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。