互联网金融DevSecOps实践：红蓝对抗与人文关怀

"互联网金融下的DevSecOps探索实践.pdf"主要涵盖了互联网金融领域DevSecOps的实践、挑战以及人文关怀等方面。DevSecOps是一种将安全融入到开发、运营全过程的策略，旨在提升软件的安全性。 在红蓝对抗部分，演讲者提到了几个常见的安全漏洞，如Struts2漏洞、弱口令问题以及MS17-010（永恒之蓝）漏洞。这些攻击表明了网络安全的重要性，使得团队开始重视并寻求具备应对网络战争的能力。 在探索三化落地方案中，重点在于构建常态化的安全体系，实现服务端的治理。识别并管理的资产包括上万台服务器以及一系列关键的供应链组件，如CentOS操作系统、Dubbo服务框架、Tomcat应用服务器、JBoss、Fastjson、WebLogic、MySQL数据库、Redis缓存服务、SFTP文件传输协议等。 面临的主要挑战之一是确保所有成员都对安全负责，并将其贯穿于业务的全生命周期。为了应对这一挑战，壹钱包的DevSecOps实践采取了组建虚拟小组、制定安全规范、引入安全工具（如I/M/S/DAST、SCA、HIDS、Docker、K8S安全加固、RASP等）以及设立关卡的方法，以赋能研发团队并确保安全。 在实践中，DevSecOps的度量机制包括了接口网关设计、隐私保护设计、规范与考核、教育与考试等。同时，还涉及多种安全检查工具和流程，如APP和SDK的隐私权限扫描、APT攻击检测、高交互蜜网、主机溯源取证、敏感数据地图等，以确保法规合规、业务安全和产品质量。 最后，人文关怀部分强调了DevSecOps工具链应具备灵活性，适应企业文化，关注员工的需求，以促进DevSecOps的顺利落地。 这份资料提供了互联网金融环境下DevSecOps的实践经验，强调了安全意识、全面的资产管理和安全工具的应用，同时也提醒我们在推动DevSecOps文化时，需要兼顾团队的人文因素。