国内外大型企业实践表明,标准化和工具赋能是企业成功的关键所在。DevOps 标准及基于标准的 DevOps 持续交付流水线平台和项目实践,可以较大幅度地提质增效,更加安全敏捷地提高企业市场竞争力!“以评促建,以评促改”,以评估为抓手,让 DevOps 标准更快更好落地,助力企业数字化转型。
2022年12月26日,中国信息通信研究院隆重公布了 DevOps 系列标准最新批次评估结果。
交通银行股份有限公司(简称“交通银行”)参与评估的项目为音视频安全项目,该项目顺利通过信通院《研发运营一体化( DevOps )能力成熟度模型》安全及风险管理(DevSecOps)标准 2 级评估。代表交通银行 DevSecOps 领域能力达到国内先进水平。
目前,交通银行共有 6 个项目通过了 DevOps 持续交付标准评估,1 个项目通过了 DevSecOps 标准评估。
评估单位:中国信息通信研究院
2023年1月6日在“2022 GOLF+IT新治理领导力论坛”主论坛上,由中国通信标准化协会副理事长兼秘书长代晓慧女士和中国信息通信研究院云计算与大数据研究所所长何宝宏先生为企业授牌:
此次,我们采访了交通银行软件开发中心副总经理李锐先生,一同深聊团队在项目参与评估时的细节和故事,分享交通银行 DevOps 实践的经验。
交通银行软件开发中心副总经理 李锐
Q:您好,请介绍一下您和您的企业,以及此次参与评估的项目。
李锐:我是交通银行软件开发中心副总经理李锐,首先非常感谢中国信通院提供的这次 DevSecOps 评估的机会,同时感谢评审专家对我行软件开发安全管控体系阶段性成果的认可。
交通银行始建于1908年,是一家有着百年历史的国有金融企业。交行的信息化建设历经数据大集中、“531” 工程、“新531”工程等阶段,逐步提升科技赋能业务水平,为集团业务高质量发展注入动力。近年来,交通银行致力于布局并打造“数字化新交行”,金融科技工作在深化改革、科技赋能、数据治理、架构转型、风险防控、稳定运行各方面取得成效,并积极运用大数据、云计算、人工智能、音视频等新兴技术开展金融创新,助力业务转型,向线上化、数字化、综合化、开放化、智慧化迈进,有效赋能业务高质量发展。
我行本次参评的企业级在线音视频能力平台项目,目标是搭建安全合规、极致体验、自主可控的企业级在线音视频能力平台,为交通银行构建全集团非接触式金融服务体系提供音视频能力支撑。平台建设围绕四个方面,一是打造实时音视频、直播、点播、即时通讯四大基础能力,提升全渠道接入、全平台兼容、全场景支撑的能力。二是构建标准化的音视频应用集成组件,支持上层应用灵活集成和积木式组装,快速落地各类音视频业务场景,提升敏捷交付能力。三是为客户提供高品质、低延时、多渠道、强互动的音视频金融服务,突破时空限制,全面提升客户体验。四是建设音视频AI质检、安全加密、存储调阅等基础能力,提升监管合规水平。平台不仅为云上交行、信贷业务、理财业务、营销风控、客户服务等交行各类音视频业务场景提供支撑,同时,也将借助开放银行实现音视频能力输出,为交行合作伙伴提供音视频服务。
Q:恭喜您通过 DevOps 标准评估,此次贵公司项目通过的是安全及风险管理(DevSecOps)2 级评估,表明达到了国内先进水平,请说一下您此时的感受。
李锐:很高兴我行企业级在线音视频能力平台项目能够通过此次 DevOps 安全及风险管理(DevSecOps)评估。评估的顺利通过,是对我行安全风险管理水平的认可。期间的16轮迭代,各类问题的研究与解决,使得我行不断丰富应用安全方面的最佳实践经验,最终在安全风险管理方面取得了阶段性成果。
另一方面,我们也清醒的认识到,随着业务转型发展,产品侧必然会有更多“新技术”的衍生应用,更多“新场景”的跨界实施,更多“新朋友”的广泛接入,随之而来的是产品迭代的“新速度”,这些都对产品安全研发工作形成“新挑战”。面对挑战,我们愿意借助于业内最佳实践帮我们把脉评估,持续优化,进一步提升安全能力;与此同时,也愿意与业内众多专家一起推动研发运营一体化的发展和进步,共同夯实国家网络安全基础设施建设。
Q:贵公司是如何决定加入 DevSecOps 标准评估工作中的?
李锐:交通银行作为一家国有大型商业银行,担负着防范金融风险,服务实体经济的社会责任。但在当前全球竞争与合作的背景下,网络空间安全攻防对抗形势日益严峻,作为国家关键基础设施的运营者,国家网络空间安全的重要组成部分,提升安全风险管理水平刻不容缓。
有鉴于此,结合产品研发转型过程中网络安全现状,我行安全开发领域亟需构筑更为坚实的“左侧”安全体系。按照“交通银行十四五期间网络安全规划”统筹要求,我行自今年起全面参与研发运营一体化(DevOps)安全及风险管理成熟度评估项目,探索引入 DevSecOps 理念与方法体系对我行安全与 DevOps 的衔接有着指导作用,借助标准,以评促改,通过有针对性的改进完善,丰富应用安全方面的最佳实践经验,对后续我行在此领域的推广至关重要。
Q:通过 DevSecOps 标准评估对您企业带来了什么帮助?对贵团队有哪些影响?
李锐:此次评估借助 DevSecOps 成熟度模型和最佳实践,提升了应用开发全生命周期安全,完善安全规范及工具平台,将安全问题左移,极大的提升了安全问题发现与处置的效率,切实保障安全运营。后续,我行也将借助本次评估成果,持续推进安全防护机制不断地作用于业务产品,保持应用开发敏捷的同时,提升对抗风险的能力。
Q: 此次参评项目有哪些特色?在日常安全风险的管理方面,面临哪些安全挑战?
李锐:本次参评的企业级在线音视频能力平台项目,为我行构建全集团非接触式金融服务体系提供音视频能力支撑,用户类型多,业务场景广。在日常安全风险的管理方面,外部安全威胁与日俱增,攻击手段越发多样,0day漏洞层出不穷,对外部攻击的防范及内部安全意识能力的提升有很高要求。我行需进一步借助 DevSecOps 标准,不断提升安全运营能力对抗风险。
Q:DevSecOps 核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,是否可以详细的给我们介绍下,贵司是如何从文化、流程及技术三方面落地 DevSecOps 的?
李锐:文化方面,我行会持续推进网络安全文化建设和网络安全意识培训,通过内部“e校园”在线课程、线下培训、攻防学习平台、安全知识宣传周等多种形式,提升员工的安全责任意识。
流程上,我行借助 DevSecOps 标准,完善开发活动中安全监控、安全测试、安全交付、安全运营的制度规范及工具平台,做到全流程闭环管理。
技术方面,我行结合开发运行一体化(DevOps)模式,落地软件开发生命周期安全(SDLC),不断提升优化工具链,提升安全监控和运营体系,实现安全能力的自动调度。
Q: 此次通过DevSecOps评估的过程顺利吗?遇到什么困难?如何解决的?
李锐:此次 DevSecOps 评估对我行的开发安全能力提升有着积极指导意义,对我行现有的安全管理规范完善和安全工具链的建设都起到了指导性帮助,借助 DevSecOps 标准,对现有安全规范、安全工具链评估、调研、建设、补充,实施落地,最终达到了 DevSecOps 标准。
Q: 对于 DevSecOps 今年的实施,您觉得最大的收获是什么?您的下一步计划是?
李锐:项目通过此次 DevOps 安全及风险管理(DevSecOps)评估,一方面提升了我行的安全风险管理水平,完善了相关安全管理规范。另一方面对安全开发工具链建设及推广起到了示范性作用。后续我行将进一步完善安全风险管理制度建设,建立健全安全工具链全流程闭环管理,继续推进 DevSecOps 在我行更大范围的实施落地。
Q: 对于 DevOps 的发展前景,您怎么看?
李锐:现如今数字化转型快速发展,开发服务的速度也需要随之提升,DevOps 为开发服务跟上数字化转型速度提供了解决方案,是软件开发未来的发展趋势。同时,安全也将继续成为交通银行的重中之重,因此将安全措施纳入标准的 DevOps 中的 DevSecOps 标准也将成为我们持之以恒推行落地的标准。未来我们将持续推进交通银行 DevOps 建设,有效赋能业务高质量发展,助力“数字化新交行”建设。
项目组合影:
态势感知展示:
国有银行参评详情
截至目前,国有银行参与 DevOps 能力成熟度模型评估的企业及其评估数量如下:
* 统计截止日期至:2022年12月26日,数据来自于DevOps评估官方网站,并依据评估总数排序,数量相同则依据评估批次先后排序。
数字为对应企业通过 DevOps 持续交付标准 3 级、技术运营标准 2 级/2+级、安全及风险管理2级、系统和工具评估的项目/模块数量。上述统计数据已包含企业及子公司参评情况。其中农行2个CO项目待授牌。
研发运营一体化(DevOps)能力成熟度模型介绍:《研发运营一体化(DevOps)能力成熟度模型》系列标准是由中国信息通信研究院牵头,云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 DevOps 系列标准,是最完整、最权威、最具行业指导性的研发运营一体化(DevOps)能力标准之一。由中国信息通信研究院主导的 DevOps 标准已由工信部发布并被众多金融、通信和互联网等行业名企纷纷采用并通过评估。
与此同时,DevOps 标准已于2020年7月在联合国直属标准化组织 ITU-T 正式结项,成为全球首个 DevOps 国际标准。研发运营一体化(DevOps)总体架构可划分过程(敏捷开发管理、持续交付、技术运营)、应用设计、安全及风险管理、系统和工具、业务价值管理、合作开发运维、持续测试等。
