狠狠撸

叡揚資安 Solution Day
?防範勝於治療、從根本提升資安防禦力
- 安全軟體開發生命週期的持續整合與部屬平台
報告人：陳志雄
日期：2017.08.17
1

大綱
■ 資訊安全防禦架構
■ 軟體發展生命週期的演進與趨勢
■ 叡揚軟體發展生命週期解決方案
■ Demo
■ 結論
2

資安部署戰略地圖
5
事前事發
事後
外部安全防護
內部 IT 環境
稽核
金鑰管理

叡揚資訊價值
6
■ 如何降低軟體成本
■ 如何提高軟體價值
■ 如何提升叡揚顧問服務價值
■ 分享軟體品質管理支援與經驗
■ 整合開發/品管/維運支援與經驗
■ 如何創造叡揚軟體專業價值
■ 整合商用與開源軟體
■ 整合企業與雲端資源

Gartner 如何說
7
■ DevOps is the fourth most searched term on
gartner.com
■ the target platform will become a hybrid cloud that
includes a growing percentage of public cloud

計畫
開發
建置
測試
釋出
佈署
營運
監控
Dev Ops
應用系統優化平台—服務面
9
Auto Build
自動建置
源碼安全
知識管理
Auto Deploy
自動部署
Auto Testing
自動測試
Plan
計畫階段
Code
系統開發
Build
建置階段
Test
測試階段
Operate
營運階段
版本控管工具
SVN/GIT/TFS
建置工具
Jenkins
源碼檢測工具
SCA & OSS
壓測工具
Jmeter
Silker
需求管
理系統
系統效能監控
dynaTrace
應用
系統
安全
與
效能
優化
平台
與需求單管理
整合
Auto Scan
自動源碼檢測
系統安全與效能
問題自動監控
應用
系統
生命
周期
支援
工具
版本管理
Deploy
佈署階段
Monitor
監控階段
Issue Tracking
問題管理
整合管理
Portal儀錶板
KM工具
Vital ESP

軟體發展生命週期的演進與趨勢
10

ISO 9126 Software Quality Assurance
11
Quality
Functionality
Usability
Portability
Maintainability
Reliability
Efficiency
Performance Testing
(Stress Testing)
System Testing
Functional Testing
Security Testing
Various Test
Environments
Code Review (Complexity,
Dependency, etc.)

Quick recap-Waterfall, Agile, Lean, Scrum, DevOps
12
Lean Value
Value stream
Flow
Pull
Perfection
ScrumFocus
Courage
Openness
Commitment
Respect
value drivenplan driven
Waterfall Agile Individuals and interactions
Working software
Customer Collaboration
Responding to change

DevOps: Highly Automating Loop
13
http://blog.appdynamics.com/

#Dynatrace
開發單位
? 源碼版本
? 源碼品質
? 單元測試
? 系統整合
檢驗單位
? 源碼品質
? 功能測試
? 安全測試
? 效能測試
維運單位
? 程式上版
? 系統監控
? 服務水準
? 事件回應
15
持續整合持續檢測持續派送持續監控
變更管理建構管理問題管理
應用系統持續強化平台

#Dynatrace16
專案管理程式開發程式碼管理自動編譯程式分析自動測試自動部署監控與回饋
GSSDLC ALM自動化協同運作管理平台
整合既有流程
整合既有
需求單系統
TFVC
SVN
IBM RTC
Test
Management
Unit Test
Func. Test
S S D L CG
Silk Test
Load Test
Silk Performer
Mobile App
OS
Web Server
DB
VM & Container
Coverage &
Quality
Vulnerability
GSSSSDLC - DevSecOps
( Secure Software Development Life Cycle )
JIRA
需求單系統
GSS-PMIS

GSSDLC - 軟體發展生命週期解決方案
- DEMO
17

GSSDLC - 安全發展應用系統
18
Design
Agile
Methodology
Requirement
Management
Domain
Driven
Build
Test
Driven
Code
Inspection
Continuous
Integration
Test
Functional
Testing
Security
Testing
Performance
Testing
Operate
Configuration
Management
Vulnerability
Management
Continuous
Monitoring
Application Lifecycle Management

#Dynatrace
GSSDLC 核心功能概述(1)
? 自動源碼檢測提升品質與安全
– 安全程式碼檢查 –
– 程式碼符合度檢查 -
– 單元測試及覆蓋率檢查 –
– 程式碼複雜度檢查 –
– 程式碼相似度檢查 –
? 自動建置確保源碼完整及可用性
– 自動簽出源碼，建置執行碼
– 支援多版本控管系統 –
– 支援多種建置工具 –
– 支援遠程呼叫特定程式編譯環境之批次檔，進行建置
19

#Dynatrace
GSSDLC 核心功能概述(2)
? 自動測試確保品質與效能
– 自動觸發測試工具測試腳本，進行測試並取回結果
– 收集每次測試結果，客製化產出單次及趨勢報告
– 預設支援 –
? 自動部署確保成功部署最新版本執行碼
– 支援常見作業環境 –
– 支援檔案打包，上傳指定位置
– 部署失敗，回復前一版本
? 自動上版管理
– 入庫簽核與自動上版權責分離
– 管理與檢視各應用系統專案各階段的執行內容與結果
– 完整稽核記錄
? 自動追蹤管理(品質,安全,效能)
20

GSSDLC 案例
21
開發部門
QA部門
需求變更系統
版控系統
測試平台
需求部門
源碼掃描
開發環境
需求變更系統
版控系統
源碼掃描
入庫申請
源碼弱點分析
正式營運環境
版控系統
正式平台上版部署
入庫管制人員
入庫簽核
入庫審核人員
上版通知+差異分析
+
上版通知自動
上版
系統Jenkins
效能分析
APP 管理
APP 保护

#Dynatrace
GSSDLC流程與權責劃分
上版前置工作
需求單系統
待上版待簽核緊急入庫待入庫待結案
[經辦]
版控系統
源碼檢測系統
壓力測試系統
[測試覆核人][經辦]
[協理] [科長]
[測試覆核人] [控管人員]
[管控科長]
建置系統
部署系統
管理作業
需求單歷程報表
申請人歷程報表
22

GSSDLC
Security Software Development Lifecycle Platform
23

GSSDLC for SCA & OSS
Jenkins自動整合平台
需求變更
介接
差異分析源碼檢測自動測試自動建置自動部署
IBM Notes
GSS-CIA
Compare
自動上版平台
需求變更
系統
25
源碼檢測
白箱檢測
開源碼
授權/檢測
黑箱檢測
衝擊分析

GSSDLC for SCA(衝擊分析)
26
受影響程式

GSSDLC for SCA
27受影響程式

GSSDLC for APP
需求變更
介接
IBM Notes
Compare It
自動上版平台
需求變更
系統
28
保护前後
驗證比較
發布前後
自動程序

GSSDLC-Arxan
29
測試結果報告

GSSDLC for APM
需求變更
介接
IBM Notes
Compare It
自動上版平台
需求變更
系統
30
功能測試
壓力測試
營運監控

GSSDLC for dynatrace
31
1.個別單元和Web測試
2.收集/分析每個測試的
各個維度(包括性能)數據 3.确定执行路径

GSSDLC for dynatrace(效能與營運)

結論
■ DevOps 與 DevOps toolchain 是IT趨勢
■ 自動化持續整合是DevOps的核心
■ 自動化持續整合提升軟體交付頻率與品質
■ 叡揚以自動化持續整合實務經驗服務客戶
■ Security、Security、Security: 別讓一切辛苦變成白搭
34
GSSSDLC - SecDevOps

謝謝聆聽
Q&A
www.gss.com.tw www.gsscloud.com

狠狠撸

GSSDLC - Bruce (20170817)

Recommended

More Related Content

Similar to GSSDLC - Bruce (20170817) (8)

More from Galaxy Software Services (20)

GSSDLC - Bruce (20170817)