DevSecOps

某大型软件公司DevOps平台安全测试集成项目
DevSecOps,打破了传统开发模式界限,节约安全测试成本,提高安全测试灵活性。
项目背景
该客户是一家致力于为中外企业提供可靠的、专业的IT服务及产品的软件公司。客户有自研使用的DevOps平台,来实现软件开发过程的流程管理。但是该平台中尚未实现自动化安全测试功能,因此需要实现自动化安全测试的集成。
方案实施
安全团队承接了该项目后,针对性分析该DevOps平台的工作流程,结合项目组实际需求,制定了具体的安全测试集成方案。主要措施如下:
  • 代码依赖检测、代码安全审计、自动化安全测试、代码信息泄露作为自动化节点加入平台流程
  • 建立标准的漏洞格式,将各个节点的安全漏洞进行标准化处理
  • 统一的漏洞展示平台,可视化展示各个阶段的安全漏洞
    • 项目成果
    经过长期调整与测试,该DevOps平台的安全测试集成顺利完成,得到客户方的赞誉。具体成果如下:
  • 安全测试介入的很早,加上自动化工具的使用,帮助项目组大大提高了安全测试效率,缩短了项目交付时间
  • 发现多处代码泄露问题,杜绝了潜在的代码泄露风险
  • 漏洞展示平台给了项目组非常好的用户体验,受到项目组的广泛好评