在金融服务中正确地进行开发

介绍

包括银行、投资公司和保险公司在内的金融服务机构面临着不断加强网络安全、加快软件发布速度的巨大压力。乍一看，这两个目标似乎相互矛盾。然而，对于金融服务公司来说，有一种方法可以协调和实现这些看似冲突的目标:DevSecOps。

DevSecOps是整个SDLC(软件开发生命周期)中开发、安全和运营团队的端到端协作，以及他们任务的自动化，从而实现为数字业务提供动力的软件的频繁和安全发布——移动应用程序、web服务、api、物联网网络等等。

在这本电子书中，我们将解释:

• 金融服务提供商在试图提高SDLC的安全性和敏捷性时面临的主要挑战
• DevSecOps如何保护这些公司的数字业务并赋予他们竞争优势
• 为什么二进制管理是DevSecOps策略的关键软件物料清单(SBOM)的关键作用是理解二进制文件的组成

金融领域的挑战

当所有垂直行业的企业都在努力提高软件管道的速度和安全性时，金融服务公司面临着独特或更明显的挑战。

这是网络骗子最喜欢的行业

银行和其他金融服务公司处理的大量个人和金融数据，使它们成为网络犯罪分子的主要目标。入侵银行可以让黑客获得个人和商业客户、银行流程、财务记录等宝贵的机密数据。因此，这些机构受到来自各个战线和各种方法的激烈和不断的攻击，包括最新和最尖端的攻击。

在任何特定时刻，银行都可能成为DDoS(分布式拒绝服务)攻击、勒索软件攻击、网络钓鱼活动、零日漏洞利用、高级持续威胁(apt)、恶意软件感染、中间人黑客攻击、跨站脚本编写、物联网妥协和攻击的目标供应链漏洞．

沉重的监管负担

金融服务业是监管最严格的行业之一，受制于全球范围内大量复杂的行业规定和政府规定。显然，DevOps团队必须确保他们发布给员工、客户和合作伙伴的所有软件都符合公司开展业务的所有国家和地区大量且不断增加的复杂且往往令人困惑的法规，这对他们来说是一个负担。不遵守规定可能会导致巨额罚款、法律责任、声誉损害和业务损失。

这里只是一个例子:

• 强客户身份验证(SCA)这是一项欧洲法规，要求金融应用程序至少有两种形式的用户认证
• 支付卡行业数据安全标准(PCI DSS)，是保护持卡人数据收集、存储、处理和传输的全球行业标准
• 金融工具市场指令(MiFID)这是一项旨在保护投资者的欧洲法规
• 经修订的支付服务指引(PSD2)这是一项旨在提高电子支付安全性和透明度的欧洲法规
• 萨班斯-奥克斯利法案该法是美国联邦法律，旨在阻止和惩罚企业和会计欺诈和腐败，保护工人和股东
• 多德-弗兰克法案该法案加强了对整个金融服务业的监管，以促进美国金融体系的稳定和监督
• 一般数据保护条例(GDPR)这是一项并非专门针对金融业的欧洲法规，其目的是保护欧盟居民的隐私和个人数据
• 白宫关于改善国家网络安全的行政命令这并非金融公司所特有的世界杯2022入围名单 影响了美国政府和美国私营部门

高度受限的数字环境

与其他行业相比，金融服务部门的IT基础设施具有严重的限制，阻碍了敏捷性，包括:气隙系统;加强访问控制;最小的跨团队合作;缓慢的变更管理和审批;严格审计和治理;开发人员的灵活性有限。

雪上加霜的是，这个行业的IT基础设施往往是复杂、大型和异构的，从传统的本地数据中心到现代的混合云部署微服务架构和容器．它们还必须支持广泛而多样的终端，如智能手机、自动取款机和POS终端。

来自技术中断的压力

金融行业的公司承受着不断的压力，要跟上行业中令人眼花缭乱的技术创新的步伐，并在与颠覆性的初创公司和老牌公司的竞争中保持竞争力。最近的“金融科技”进展包括机器人咨询、纯数字银行、加密货币、区块链、基于人工智能的服务定制和P2P交易。

这意味着金融服务公司必须频繁发布新的和更新的软件，以不断增强他们的数字服务。这是这些公司在历史上一直避免的变化速度——就在十年前——正是因为它增加了部署包含漏洞、错误配置或其他安全和合规漏洞的软件的风险。

强化客户需求

客户对金融服务提供商的数字体验的期望持续攀升。客户希望通过手机、个人电脑和平板电脑的数字渠道方便地进行银行业务、股票交易、支付、管理退休账户等。他们希望这些服务产品越来越个性化、功能丰富、快速和始终可用——而且，显然，他们希望所有的数字交易都是安全的。

由于金融服务的数字化，客户比以往任何时候都更容易更换银行和其他提供商，这增加了这些公司不断改善客户数字化体验的紧迫性。

DevSecOps保护并加速您的SDLC

如何应对这些挑战?如何在不牺牲安全性的情况下保持软件发布速度和创新?无论你的IT环境是在本地、云端，还是两者兼而有之，重点都应该是确保你的SDLC过程不仅灵活而且安全，而DevSecOps使这成为可能。

随着DevSecOps的采用带来的人员、流程和技术的变化，世界杯2022入围名单 可以:

• 在SDLC中涉及的所有团队和利益相关者(主要是开发、运营和安全，但也包括QA/测试、业务领导、GRC和上层管理层)之间建立开放沟通、协作和共享责任的文化
• 通过自动化任务(包括尽可能多的安全性和合规性检查)来提高SDLC的速度和敏捷性，并从设计阶段开始将它们原生地构建到每个步骤中，以便尽早和经常地检测和修复问题
• 通过SDLC细粒度地管理和跟踪他们的软件二进制文件，因此，如果发现它们包含严重的漏洞或遵从性问题，您可以看到它们被使用的位置，了解它们的“爆炸半径”影响范围，并快速修复问题
• 验证通过SDLC生成的每个工件的真实性，以便开发人员和操作员可以确保通过管道创建的构建不包含受损害的工件

DevSecOps的核心是二进制管理

一旦源代码在构建阶段被编译成二进制文件，二进制文件就成为DevOps管道中的主要资产，因为它们是真相来源单一用于开发人员构建、测试、推广和发布到生产中的内容。出于这个原因，管理二进制文件的流对于确保软件构建的完整性和可再现性，以及应用程序的质量和安全性至关重要。

实现快速、安全的软件发布所需的核心部分是端到端、可扩展的DevOps的平台由处理所有类型软件包的存储库管理器锚定。这个平台应该很容易通过REST api与所有第三方DevOps工具集成，并且应该包括用于安全扫描、分发和监控生产中的软件的组件。

平台的存储库应该存储并唯一标识所有二进制文件，无论它们是来自组织外部还是内部构建的。这提供了一个单一的真相来源，金融服务公司可以使用它来匹配潜在的威胁，并相应地编写规则和策略，以触发针对这些二进制文件的具体操作，包括:

• 阻止他们的消费
• 萎靡不振的他们
• 向它们添加新的元数据
• 启动次要进程
• 通知适当的团队成员

金融部门的DevOps团队的一个重要特性是支持气隙环境——指的是那些没有连接到互联网的地方。通常，开发组织访问远程公共资源，例如2022世界杯阿根廷预选赛赛程码头工人中心下载构建的依赖项。然而，金融机构通常有更严格的安全要求，他们不能将自己的操作暴露在互联网上，因此拥有一个支持这种气隙场景的DevOps平台是必不可少的。

世界杯2022入围名单 也需要深入、详细地了解它们的二进制文件，包括它们的第三方传递依赖关系，特别是开源组件，它们通常占应用程序代码库(api、库、基本操作系统等)的90%以上。

为了理解二进制文件的组成，DevOps平台应该生成一个软件物料清单(SBOM)对于您发布的所有软件，分发和部署。SBOM包含组成软件的所有“成分”的列表，包括库和模块——无论它们是开源的还是专有的——以及关于构建过程中使用的开发工具和CI环境的信息。

SBOM还可以概括出软件是在什么时候构建的，它经历了哪些SDLC阶段——开发、QA、阶段、生产——以及什么安全性和遵从性问题已经被发现并修复。

这些信息促进了DevSecOps的工作，并有助于在各种用例中维护安全性和遵从性。例如，SBOM详细说明了应用程序中使用的所有上游组件及其不同版本。这样，当一个影响应用程序的漏洞被公开时，就很容易检测到哪些版本受到了影响以及如何受到影响。

平台还应持续扫描所有软件组件，以在SDLC阶段检测和修复漏洞、许可证遵从性问题和其他问题:

• 代码，包括捕获组件元数据、执行组合分析以及与组织的IDE(集成开发环境)集成
• 构建，包括与CI/CD系统集成，执行策略管理，以及因严重违反而失败的构建
• 发行/分发，包括确保安全软件分发以及屏蔽下载
• 生产，包括检测生产违规，创建完整的影响分析图，并提供补救建议
• 监控，包括创建报告和生成分析

总之，端到端DevOps平台通过本地安全和合规功能，金融服务机构可以对其二进制文件具有完全的问责制、可追溯性和可审计性。因此，如果二进制文件出现问题，他们可以执行精确而快速的根本原因分析，并采取适当的行动。

结论

在这本电子书中，我们解释了为什么采用DevSecOps对金融服务机构来说是必须的。DevSecOps帮助他们正确地保护他们的SDLC，而不会减慢他们的软件发布速度。

DevSecOps为银行和其他金融服务提供商带来的主要好处包括:

• 从端到端保护SDLC
• 软件发布的加速
• 提高开发、运维和安全团队的工作效率
• 增加跨团队的沟通和协作
• 提高数字服务的质量、性能、可靠性和创新性
• 业务增长和扩展，包括:
  • 增加收入
  • 更好的客户保留
  • 更低的成本
  • 增强客户体验

想了解更多关于如何在金融服务中成功采用DevSecOps的信息吗?加入我们的演示!JFrog DevOps平台拥有所有的特性和功能，可以帮助您部署端到端DevOps管道，快速频繁地发布安全合规的软件。