国内外大型企业实践表明,标准化和工具赋能是企业成功的关键所在。DevOps 标准及基于标准的 DevOps 持续交付流水线平台和项目实践,可以较大幅度地提质增效,更加安全敏捷地提高企业市场竞争力!“以评促建,以评促改”,以评估为抓手,让 DevOps 标准更快更好落地,助力企业数字化转型。
2022年12月26日,中国信息通信研究院隆重公布了 DevOps 系列标准最新批次评估结果。海通证券股份有限公司(简称“海通证券”)本次参评的项目为e海通财资讯中心-数据应用服务系统项目,该项目均顺利通过由中国信息通信研究院开展的《研发运营一体化( DevOps )能力成熟度模型》安全及风险管理(DevSecOps标准)安全开发模块2级评估,代表着海通证券 DevSecOps 领域能力达到国内先进水平。
目前,海通证券已有1个项目通过 DevOps 持续交付标准评估,1个项目通过 DevSecOps 标准评估。
评估单位:中国信息通信研究院
2023年1月6日在“2022 GOLF+IT新治理领导力论坛”主论坛上,由中国通信标准化协会副理事长兼秘书长代晓慧女士和中国信息通信研究院云计算与大数据研究所所长何宝宏先生为企业授牌:
此次,我们采访了海通证券软件开发中心副总经理(主持工作)陆颂华先生,海通证券数据中心副总经理王东先生,一起深聊团队在项目参与评估时的细节和故事,分享海通证券 DevOps 实践的经验。
海通证券软件开发中心副总经理(主持工作)陆颂华
Q:您好,请介绍一下您和您的企业,以及此次参与评估的项目
陆颂华:海通证券是一家中国境内领先的综合性证券公司,拥有一体化的业务平台、庞大的营销网络以及雄厚的客户基础;在中国境内拥有338家证券及期货营业部,境内外拥有超2000万名客户;基本建成涵盖证券期货经纪、投行、自营、资产管理、私募股权投资、另类投资、融资租赁、境外投行等多个业务领域的金融服务集团。
本次参评项目为e海通财资讯中心-数据应用服务系统。e海通财是中国证监会核准的金融理财产品,是海通证券依托30余年行业经验自主研发的一站式综合理财投资服务软件。e海通财不仅可用于炒股,还可用于理财咨询,支持多种市场品类交易,全面行情走势分析,综合资讯概览展示,极速开户申请体验,可以让用户享受一站式券商服务。本次参评的资讯中心数据应用服务系统为e海通财APP/PC客户端提供资讯相关数据信息,数据涵盖证券、基金、债券、贵金属、期权等相关业务的资讯及其他交易所统一对外披露的公共数据,此外还提供诊股、估值等特色数据。
Q:恭喜您通过 DevOps 标准评估,此次贵公司项目通过的是安全及风险管理(DevSecOps标准)2级评估,表明达到了国内领先水平,请说一下您此时的感受。
陆颂华:很高兴海通证券能够参加信通院牵头组织的 DevOps 研发运营一体化能力成熟度模型安全及风险管理部分的评估,我们首个项目参评并达到2级的水平,这是对海通证券 DevSecOps 体系建设与转型的肯定,也为我们后续安全开发能力建设进一步指明方向。
Q:贵公司是如何决定加入 DevSecOps 标准评估工作中的?
陆颂华:海通证券于2020年开始 DevOps 体系与能力建设,2021年首个项目通过《研发运营一体化(DevOps)能力成熟度模型 第3部分:持续交付》3级评估。同时在安全体系与能力上经过多年积累,以防控关基重大风险威胁为重点,聚焦关基安全保护的突出问题和薄弱环节,在技防体系上构建了纵深防护阵线,包括边界安全防线、流量检测防线、主机安全防线、欺骗防御防线等,对态势感知、邮件系统、集权系统、情报联动等领域进行了重点建设,提高对真实威胁的发现能力。在研发安全方面,构建了海通证券DevSecOps体系,囊括了第三方管理、安全需求与设计、安全研发、安全测试与交付、安全基线、安全运营等多个通用安全能力、安全开发能力。因此,今年我们启动了安全及风险管理(DevSecOps)标准的贯标工作,对已有能力进行梳理与打通、对短板进行补齐,最终通过对海通 DevSecOps 体系与能力进行了全面评估。
Q:对于此次参评的项目哪些特色?在日常安全风险的管理方面,面临哪些安全挑战?
陆颂华:资讯中心-数据应用服务系统是以自研为主,服务于企业内各业务场景、业务需求,始终致力于为用户提供及时、全面、精准的全市场资讯数据,持续引入优质资讯数据源,给下游系统提供稳定、规范化、多元化的资讯数据服务,具有系统体量大、对客访问频次高、迭代更新周期短、速度快等特点。
基于以上特点,在安全开发中我们面临着许多挑战:频繁升级必须要有标准化的安全开发流程,保障每一次升级迭代做到风险可控;功能场景丰富,数据类型多样,需要对访问模式进行安全设计,提高服务接口可用性;用户访问量大,需要预防接口滥用与防重放威胁,这进一步地要求我们注重安全开发规范。
Q:对于 DevSecOps 今年的实施,您觉得最大的收获是什么?您的下一步计划是?
陆颂华:通过今年的 DevSecOps 贯标工作,海通最大的收获就是很大程度上实现了安全左移,将安全文化、安全流程、安全技术提前至需求、设计与开发阶段,打通了软件全生命周期安全管理,将海通已有的组织级安全能力最大限度的落实到具体的项目团队日常研发工作中。未来我们将进一步完善海通安全能力体系,使得安全开发、安全交付、安全运营能力在更多项目团队落地实践,针对自主研发、合作研发、外部采购等不同类型系统实现针对性安全能力覆盖,最终实现安全体系与能力在软件生命周期与项目团队的全覆盖。DevSecOps 的实施,标志着海通证券在 DevOps 基础之上进一步加重了安全比重,将安全理念贯通在研发、测试、运维等各个环节,为此我们同时采访了海通证券数据中心副总经理王东总。
海通证券数据中心副总经理 王东
Q:DevSecOps 的核心理念是安全,与整个IT团队(包括开发、运维及安全团队)都密切相关,是否可以详细的给我们介绍下,贵司是如何从文化、流程及技术三方面落地 DevSecOps 的?
王东:文化上,通过周期举行安全法律法规和制度培训、安全意识培训、安全技术培训、安全宣传活动,将安全开发、安全交付、安全运营的全生命周期安全理念灌输给科技条线每一位员工。
流程上,在需求评审、设计评审等环节加入安全、合规的评审环节;开发测试及上线、入网、变更等阶段通过各类安全测试质量门禁保证交付质量。通过规范流程保障安全漏洞和安全事件的闭环处置,通过度量反馈流程保障整体安全水位稳步提升。
技术上,通过搭建、完善和打通全生命周期安全工具链,结合各类自动化门禁,加强软件全生命周期安全管理,通过建设安全运营中心、DevOps 平台、安全工具实现对工具、流程、人员统一纳管,加强各环节联通,提升整体效率。
Q:此次通过 DevSecOps 评估的过程顺利吗?遇到什么困难?如何解决的?
王东:DevSecOps 评估工作横跨海通证券科技条线多个一级部门和二级部门,在整个差距分析与改进过程中,需要大量跨部门协作与配合,为此我们形成了专项工作虚拟团队,涉及安全、开发、数据、科技管理等各领域专家,得益于多个职能部门的通力合作,大家将安全作为共同目标,完成了本次贯标工作。与此同时,这样的贯标目标与工作方式也很好的促进了安全体系在开发、测试、运维各领域的覆盖与打通,促进软件全生命周期安全管理。
Q:通过 DevSecOps 标准评估对您企业的安全体系建设带来了什么帮助?
王东:通过对标 DevSecOps 标准,对海通安全体系能力进行了完整梳理,将“一个海通”的理念贯穿科技安全工作始终,统筹公司网络安全体系建设,推进集团内部形成科技安全的共识,推动网络安全工作与业务工作有机融合与有效落实。一是坚持规划引领,夯实网络安全主体责任底座。二是强化风险防控,牢筑网络安全纵深防线之本。三是完善综合保障,深化网络安全综合治理之道。同时对制度规范进行了完善与补充,梳理并完善了一系列各领域、各阶段的安全技术标准,安全工具链也实现了梳理与打通,最终实现了海通安全、开发、持续交付等能力的贯通与融合,覆盖安全、开发、测试、平台各团队或角色。
Q:对于 DevOps 的发展前景,您怎么看?
王东:随着海通在 DevOps 能力成熟度模型持续交付和安全及风险管理领域的贯标与深入实践,对 DevOps 也有了更深刻的认识,海通未来在 DevOps 领域的探索方向,一方面需要向运营侧进一步延伸,实现运营侧能力成熟度的提升;另一方面与 PaaS 能力相融合,从软件架构设计到开发阶段提供更全面、成熟、自助式的技术平台能力,在此过程中不断丰富 DevOps 内涵、延伸 DevOps 领域。
e海通财资讯中心-数据应用服务系统项目评估现场图:
e海通财资讯中心-数据应用服务系统项目介绍:
开源组件漏洞扫描、代码安全扫描等集成IDE实现安全左移:
DevOps平台流水线集成自动化安全漏洞扫描:
源代码安全扫描报告:
威胁与漏洞安全管理平台:
漏洞度量分析:
安全度量大屏:
证券行业参评详情
截至目前,证券行业参与 DevOps 能力成熟度模型评估的企业及其评估数量如下:
* 统计截止日期至:2022年12月26日,数据来自于DevOps评估官方网站,并依据评估总数排序,数量相同则依据评估批次先后排序。
数字为对应企业通过 DevOps 持续交付标准 3 级、技术运营标准 2 级/2+级、安全及风险管理2级、系统和工具评估的项目/模块数量。上述统计数据已包含企业及子公司参评情况。
研发运营一体化(DevOps)能力成熟度模型介绍:
《研发运营一体化(DevOps)能力成熟度模型》系列标准是由中国信息通信研究院牵头,云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 DevOps 系列标准,是最完整、最权威、最具行业指导性的研发运营一体化(DevOps)能力标准之一。由中国信息通信研究院主导的 DevOps 标准已由工信部发布并被众多金融、通信和互联网等行业名企纷纷采用并通过评估。
与此同时,DevOps 标准已于2020年7月在联合国直属标准化组织 ITU-T 正式结项,成为全球首个 DevOps 国际标准。研发运营一体化(DevOps)总体架构可划分过程(敏捷开发管理、持续交付、技术运营)、应用设计、安全及风险管理、系统和工具、业务价值管理、合作开发运维、持续测试等。
