O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

GSSDLC - Bruce (20170817)

叡揚資安 Solution Day
╴防範勝於治療、從根本提升資安防禦力
╴安全軟體開發生命週期的持續整合與部屬平台

  • Entre para ver os comentários

GSSDLC - Bruce (20170817)

  1. 1. 叡揚資安 Solution Day ╴防範勝於治療、從根本提升資安防禦力 - 安全軟體開發生命週期的持續整合與部屬平台 報告人:陳志雄 日 期:2017.08.17 1
  2. 2. 大綱 ■ 資訊安全防禦架構 ■ 軟體發展生命週期的演進與趨勢 ■ 叡揚軟體發展生命週期解決方案 ■ Demo ■ 結論 2
  3. 3. 資訊安全防禦架構 3
  4. 4. 資訊安全防禦架構 4
  5. 5. 資安部署戰略地圖 5 事前 事發 事後 外部安全防護 內部 IT 環境 稽核 金鑰管理
  6. 6. 叡揚資訊價值 6 ■ 如何降低軟體成本 ■ 如何提高軟體價值 ■ 如何提升叡揚顧問服務價值 ■ 分享軟體品質管理支援與經驗 ■ 整合 開發/品管/維運 支援與經驗 ■ 如何創造叡揚軟體專業價值 ■ 整合商用與開源軟體 ■ 整合企業與雲端資源
  7. 7. Gartner 如何說 7 ■ DevOps is the fourth most searched term on gartner.com ■ the target platform will become a hybrid cloud that includes a growing percentage of public cloud
  8. 8. 叡揚資訊 8
  9. 9. 計畫 開發 建置 測試 釋出 佈署 營運 監控 Dev Ops 應用系統優化平台—服務面 9 Auto Build 自動建置 源碼安全 知識管理 Auto Deploy 自動部署 Auto Testing 自動測試 Plan 計畫階段 Code 系統開發 Build 建置階段 Test 測試階段 Operate 營運階段 版本控管工具 SVN/GIT/TFS 建置工具 Jenkins 源碼檢測工具 SCA & OSS 壓測工具 Jmeter Silker 需求管 理系統 系統效能監控 dynaTrace 應用 系統 安全 與 效能 優化 平台 與需求單管理 整合 Auto Scan 自動源碼檢測 系統安全與效能 問題自動監控 應用 系統 生命 周期 支援 工具 版本管理 Deploy 佈署階段 Monitor 監控階段 Issue Tracking 問題管理 整合管理 Portal儀錶板 KM工具 Vital ESP
  10. 10. 軟體發展生命週期的演進與趨勢 10
  11. 11. ISO 9126 Software Quality Assurance 11 Quality Functionality Usability Portability Maintainability Reliability Efficiency Performance Testing (Stress Testing) System Testing Functional Testing Security Testing Various Test Environments Code Review (Complexity, Dependency, etc.)
  12. 12. Quick recap-Waterfall, Agile, Lean, Scrum, DevOps 12 Lean Value Value stream Flow Pull Perfection ScrumFocus Courage Openness Commitment Respect value drivenplan driven Waterfall Agile Individuals and interactions Working software Customer Collaboration Responding to change
  13. 13. DevOps: Highly Automating Loop 13 http://blog.appdynamics.com/
  14. 14. #Dynatrace14
  15. 15. #Dynatrace 開發單位 • 源碼版本 • 源碼品質 • 單元測試 • 系統整合 檢驗單位 • 源碼品質 • 功能測試 • 安全測試 • 效能測試 維運單位 • 程式上版 • 系統監控 • 服務水準 • 事件回應 15 持續整合 持續檢測 持續派送 持續監控 變更管理 建構管理 問題管理 應用系統持續強化平台
  16. 16. #Dynatrace16 專案管理 程式開發 程式碼管理 自動編譯 程式分析 自動測試 自動部署 監控與回饋 GSSDLC ALM自動化協同運作管理平台 整合既有流程 整合既有 需求單系統 TFVC SVN IBM RTC Test Management Unit Test Func. Test S S D L CG Silk Test Load Test Silk Performer Mobile App OS Web Server DB VM & Container Coverage & Quality Vulnerability GSSSSDLC - DevSecOps ( Secure Software Development Life Cycle ) JIRA 需求單系統 GSS-PMIS
  17. 17. GSSDLC - 軟體發展生命週期解決方案 - DEMO 17
  18. 18. GSSDLC - 安全發展應用系統 18 Design Agile Methodology Requirement Management Domain Driven Build Test Driven Code Inspection Continuous Integration Test Functional Testing Security Testing Performance Testing Operate Configuration Management Vulnerability Management Continuous Monitoring Application Lifecycle Management
  19. 19. #Dynatrace GSSDLC 核心功能概述(1) • 自動源碼檢測提升品質與安全 – 安全程式碼檢查 – – 程式碼符合度檢查 - – 單元測試及覆蓋率檢查 – – 程式碼複雜度檢查 – – 程式碼相似度檢查 – • 自動建置確保源碼完整及可用性 – 自動簽出源碼,建置執行碼 – 支援多版本控管系統 – – 支援多種建置工具 – – 支援遠程呼叫特定程式編譯環境之批次檔,進行建置 19
  20. 20. #Dynatrace GSSDLC 核心功能概述(2) • 自動測試確保品質與效能 – 自動觸發測試工具測試腳本,進行測試並取回結果 – 收集每次測試結果,客製化產出單次及趨勢報告 – 預設支援 – • 自動部署確保成功部署最新版本執行碼 – 支援常見作業環境 – – 支援檔案打包,上傳指定位置 – 部署失敗,回復前一版本 • 自動上版管理 – 入庫簽核與自動上版權責分離 – 管理與檢視各應用系統專案各階段的執行內容與結果 – 完整稽核記錄 • 自動追蹤管理(品質,安全,效能) 20
  21. 21. GSSDLC 案例 21 開發部門 QA部門 需求變更系統 版控系統 測試平台 需求部門 源碼掃描 開發環境 需求變更系統 版控系統 源碼掃描 入庫申請 源碼弱點分析 正式營運環境 版控系統 正式平台上版部署 入庫管制人員 入庫簽核 入庫審核人員 上版通知+差異分析 + 上版通知自動 上版 系統Jenkins 效能分析 APP 管理 APP 保護
  22. 22. #Dynatrace GSSDLC流程與權責劃分 上版前置工作 需求單系統 待上版 待簽核 緊急入庫 待入庫 待結案 [經辦] 版控系統 源碼檢測系統 壓力測試系統 [測試覆核人][經辦] [協理] [科長] [測試覆核人] [控管人員] [管控科長] 建置系統 部署系統 管理作業 需求單歷程報表 申請人歷程報表 22
  23. 23. GSSDLC Security Software Development Lifecycle Platform 23
  24. 24. 專案任務範本設計 24
  25. 25. GSSDLC for SCA & OSS Jenkins自動整合平台 需求變更 介接 差異分析 源碼檢測 自動測試 自動建置 自動部署 IBM Notes GSS-CIA Compare 自動上版平台 需求變更 系統 25 源碼檢測 白箱檢測 開源碼 授權/檢測 黑箱檢測 衝擊分析
  26. 26. GSSDLC for SCA(衝擊分析) 26 受影響程式
  27. 27. GSSDLC for SCA 27受影響程式
  28. 28. GSSDLC for APP Jenkins自動整合平台 需求變更 介接 差異分析 源碼檢測 自動測試 自動建置 自動部署 IBM Notes Compare It 自動上版平台 需求變更 系統 28 保護前後 驗證比較 發布前後 自動程序
  29. 29. GSSDLC-Arxan 29 測試結果報告
  30. 30. GSSDLC for APM Jenkins自動整合平台 需求變更 介接 差異分析 源碼檢測 自動測試 自動建置 自動部署 IBM Notes Compare It 自動上版平台 需求變更 系統 30 功能測試 壓力測試 營運監控
  31. 31. GSSDLC for dynatrace 31 1.個別單元和Web測試 2.收集/分析每個測試的 各個維度(包括性能)數據 3.確定執行路徑
  32. 32. GSSDLC for dynatrace(效能與營運)
  33. 33. 結論 33
  34. 34. 結論 ■ DevOps 與 DevOps toolchain 是IT趨勢 ■ 自動化持續整合是DevOps的核心 ■ 自動化持續整合提升軟體交付頻率與品質 ■ 叡揚以自動化持續整合實務經驗服務客戶 ■ Security、Security、Security: 別讓一切辛苦變成白搭 34 GSSSDLC - SecDevOps
  35. 35. 謝謝聆聽 Q&A www.gss.com.tw www.gsscloud.com

×