在金融服务中正确使用DevSecOps

介绍

包括银行、投资公司和保险公司在内的金融服务机构面临着不断加强网络安全、加快软件发布速度的巨大压力。乍一看,这两个目标似乎相互矛盾。然而,对于金融服务公司来说,有一种方法可以协调并实现这些看似冲突的目标:DevSecOps。

DevSecOps是整个SDLC(软件开发生命周期)中开发,安全和运营团队的端到端协作及其任务的自动化,从而导致频繁和安全的软件发布,为数字业务提供动力-移动应用程序,web服务,api,物联网网络等。

在这本电子书中,我们将解释:

  • 金融服务提供商在试图提高其SDLC的安全性和敏捷性时面临的主要挑战
  • DevSecOps如何保护这些公司的数字业务并赋予他们竞争优势
  • 为什么二进制管理是DevSecOps策略的关键软件物料清单(SBOM)在理解二进制文件的组成方面的关键作用

金融领域的挑战

虽然所有垂直行业的企业都在努力提高其软件管道的速度和安全性,但金融服务公司面临着独特或更明显的挑战。

这是网络骗子最喜欢的行业

银行和其他金融服务公司处理的大量个人和财务数据,使它们成为网络犯罪分子的主要目标。入侵银行可以让黑客获得关于个人和商业客户、银行流程、财务记录等的宝贵机密数据。因此,这些机构在各方面和用各种方法,包括最新和最复杂的方法,不断受到激烈的攻击。

在任何特定时刻,银行都可能成为DDoS(分布式拒绝服务)攻击、勒索软件攻击、网络钓鱼活动、零日漏洞利用、高级持续威胁(apt)、恶意软件感染、中间人攻击、跨站点脚本编写、物联网妥协等攻击的目标供应链漏洞

繁重的监管负担

金融服务业是监管最严格的行业之一,在全球范围内受到大量复杂的行业指令和政府规则的约束。显然,DevOps团队必须确保他们向员工、客户和合作伙伴发布的所有软件都符合其公司开展业务的所有国家和地区的大量复杂且经常令人困惑的法规,这是一种负担。不遵守规定可能会导致巨额罚款、法律责任、声誉受损和业务损失。

这里只是一个例子:

高度限制的数字环境

与其他行业相比,金融服务行业的IT基础设施具有严重的限制,这些限制阻碍了灵活性,包括:气隙系统;加强访问控制;最小化跨团队协作;缓慢的变更管理和审批;严格的审计和治理;开发人员的灵活性有限。

更复杂的是,这个领域的IT基础设施往往是复杂、大型和异构的,从传统的本地数据中心到现代混合云部署微服务架构和容器.它们还必须支持广泛而多样的端点,例如智能手机、atm和POS终端。

技术中断带来的压力

金融行业的公司不断感到压力,要跟上行业中令人眼花缭乱的技术创新的步伐,并在与颠覆性初创企业和老牌企业的竞争中保持竞争力。最近的“金融科技”进展包括机器人咨询、数字银行、加密货币、区块链、基于人工智能的服务定制和P2P交易。

这意味着金融服务公司必须经常发布新的和更新的软件,以不断增强他们的数字服务。这是这些公司过去一直避免的变化速度——就在十年前——正是因为它增加了部署包含漏洞、错误配置或其他安全和合规漏洞的软件的风险。

强化客户需求

客户对金融服务提供商提供的数字化体验的期望持续攀升。客户希望通过手机、个人电脑和平板电脑通过数字渠道方便地进行银行业务、股票交易、支付、管理退休账户等。他们希望这些服务能够越来越个性化、功能丰富、快速、随时可用——而且,很明显,他们希望所有的数字交易都是安全的。

由于金融服务的数字化,客户比以往任何时候都更容易更换银行和其他提供商,这增加了这些公司不断改善客户数字体验的紧迫性。

DevSecOps保护并加速您的SDLC

你们如何应对这些挑战?如何在不牺牲安全性的情况下保持软件发布速度和创新?无论您的IT环境是在本地,在云中,还是两者兼而有之,重点都应该放在确保您的SDLC流程不仅灵活而且安全,而DevSecOps使这成为可能。

随着采用DevSecOps带来的人员、流程和技术变化,金融服务机构可以:

  • 在SDLC的所有团队和利益相关者之间建立开放沟通、协作和共享责任的文化——主要是开发、运营和安全,但也包括QA/测试、业务领导、GRC和高层管理人员
  • 通过自动化任务(包括尽可能多的安全性和遵从性检查)来提高SDLC的速度和敏捷性,并从设计阶段开始将它们原生地构建到每个步骤中,以便及早并经常检测和修复问题
  • 在整个SDLC中精确地管理和跟踪它们的软件二进制文件,因此,如果发现它们包含严重的漏洞或遵从性问题,您可以看到它们被使用的位置,了解它们的“爆炸半径”影响范围,并快速修复问题
  • 验证通过SDLC生成的每个工件的真实性,这样开发人员和操作人员就可以确保由管道创建的构建不包含被破坏的工件

二进制管理是DevSecOps的核心

在构建阶段,一旦源代码被编译成二进制文件,二进制文件就会成为DevOps管道中的主要资产,因为它们是最重要的真理的单一来源开发人员构建、测试、推广和发布到生产环境中的内容。由于这个原因,管理二进制文件流是确保软件构建的完整性和可再现性,从而确保应用程序的质量和安全性的关键。

实现快速和安全的软件发布所需的核心部分是端到端的、可扩展的DevOps的平台由处理所有类型软件包的存储库管理器锚定。这个平台应该很容易通过REST api与所有第三方DevOps工具集成,并且应该包括用于安全扫描、分发和监控生产中的软件的组件。

平台的存储库应该存储并唯一标识所有二进制文件,无论它们是来自组织外部还是内部构建的。这提供了一个单一的事实来源,金融服务公司可以使用它来匹配潜在的威胁,并相应地编写规则和策略来触发针对这些二进制文件的特定行动,包括:

  • 阻止他们的消费
  • 萎靡不振的他们
  • 向它们添加新的元数据
  • 启动辅助进程
  • 通知适当的团队成员

金融部门的DevOps团队的一个重要特征是支持气隙环境指的是那些不能上网的人。通常,开发组织访问远程公共资源,例如2022世界杯阿根廷预选赛赛程码头工人中心下载构建的依赖项。然而,金融机构通常有更严格的安全要求,他们不能将他们的操作暴露在互联网上,因此拥有一个支持这种空挡场景的DevOps平台是必不可少的。

金融服务公司还需要深入、详细地了解它们的二进制文件,包括它们的第三方可传递依赖关系,特别是开源组件,这些组件通常占应用程序代码库的90%以上——api、库、基本操作系统等等。

为了理解二进制文件的组成,DevOps平台应该生成一个软件物料清单(SBOM)对于您发布、分发和部署的所有软件。SBOM包含组成软件的所有“成分”的列表,包括库和模块——无论它们是开源的还是专有的——以及关于构建过程中使用的开发工具和CI环境的信息。

SBOM还可以概述软件的构建时间,它经历了哪些SDLC阶段——开发、QA、阶段、生产——以及什么安全性和遵从性问题已被检测并修复。

这些信息促进了DevSecOps的工作,并有助于在各种用例中维护安全性和遵从性。例如,SBOM详细描述了应用程序中使用的所有上游组件及其各种版本。这样,当影响应用程序的漏洞被披露时,就很容易检测到哪些版本受到了影响,以及如何受到影响。

平台还应该在整个SDLC阶段持续扫描所有软件组件,以检测和修复漏洞、许可证合规问题和其他问题:

  • 代码,包括捕获组件元数据,执行组合分析,以及与组织的IDE(集成开发环境)集成
  • 构建,包括与CI/CD系统集成,执行策略管理,以及因严重违规而导致构建失败
  • 发布/分发,包括确保安全软件分发阻止下载
  • 生产,包括检测生产违规,创建完整的影响分析图,并提供补救建议
  • 监视,包括创建报告和生成分析

总之,端到端DevOps平台通过本地安全性和遵从性功能,金融服务机构可以对其二进制文件进行全面的问责制、可追溯性和可审计性。因此,如果二进制文件出现问题,他们可以执行精确而快速的根本原因分析,并采取适当的措施。

结论

在这本电子书中,我们解释了为什么采用DevSecOps对于金融服务机构来说是必须的。DevSecOps帮助他们在不减慢软件发布速度的情况下正确地保护他们的SDLC。

DevSecOps对银行和其他金融服务提供商的主要好处包括:

  • 从端到端保护SDLC
  • 软件发布的加速
  • 提高开发、运维和安全团队的生产力
  • 增加跨团队的沟通和协作
  • 提高数字服务的质量、性能、可靠性和创新性
  • 业务增长和扩张,包括:
    • 增加收入
    • 更好的客户保留率
    • 更低的成本
    • 增强客户体验

想了解更多关于如何在金融服务中成功采用DevSecOps的信息吗?加入我们的演示!JFrog DevOps平台拥有所有的特性和功能,可以帮助您部署端到端的DevOps管道,快速、频繁地发布安全、兼容的软件。

要么释放,要么死亡

加入我们的演示!