Upgrade to Pro — share decks privately, control downloads, hide ads and more …

輕輕鬆鬆體驗 DevSecOps @ iThome Cloud Summit 2023

輕輕鬆鬆體驗 DevSecOps @ iThome Cloud Summit 2023

在今年 2023 的 iThome Cloud Summit,我邀請了 GitLab 原廠的 Staff Solutions Architect - Toshitaka Ito,以及另一位 GitLab Hero - Mouson (墨嗓) ,一起針對 DevSecOps 這個主題,規劃了一場「輕輕鬆鬆體驗 DevSecOps」的 Hand-on Lab。

我要特別感謝 Toshitaka Ito 與 Mouson,感謝他們兩位在我邀請一起合作這場 Lab 時,第一時間就答應參與,並且提供了非常多的幫助,如果少了他們,這場 Lab 是無法順利舉辦的,他們才是這場 Lab 的最大功臣,感謝兩位!

Toshitaka Ito - https://about.gitlab.com/company/team/#toshitakaito
Mouson - https://mouson.im/

(簡報是從 Google簡報匯出,再上傳 Speaker Deck,字體樣式有點跑掉,我也懶得修了。)

Cheng-Wei Chen

July 19, 2023
Tweet

More Decks by Cheng-Wei Chen

Other Decks in Technology

Transcript

  1. 輕輕鬆鬆體驗 DevSecOps
    2023.07.19 @ CLOUD SUMMIT 2023 臺灣雲端大會
    特別感謝

    View full-size slide

  2. 陳正瑋
    GitLab Hero
    Mouson (墨嗓)
    GitLab Hero
    Toshitaka Ito
    Staff Solutions Architect at GitLab
    特別感謝

    View full-size slide

  3. 你聽過 DevSecOps 嗎?

    View full-size slide

  4. 多半都聽過,因為一堆人都在倡議 DevSecOps
    截圖來源:Google 搜尋 DevSecOps

    View full-size slide

  5. 你覺得 DevSecOps 是?
    - DevOps + Sec
    - Dev + Sec + Ops
    - Or?

    View full-size slide

  6. Plan Code Build Deploy
    Monitor
    Analyze
    Operate
    讓我們先看一下 DevOps

    View full-size slide

  7. DevOps 打通了「交付價值」的整條
    工作流程!

    View full-size slide

  8. 那麼 DevSecOps 帶來了?

    View full-size slide

  9. 資安問題,每天都在發生
    截圖來源:https://www.ithome.com.tw/CIDaily

    View full-size slide

  10. 截圖來源:https://www.cvedetails.com/vulnerability-list/year-2023/vulnerabilities.html

    View full-size slide

  11. 截圖來源:https://hub.docker.com/layers/library/node/14.21.3-bullseye/images/sha256-9b60cdcee9c6a27227689ebf4e7dd422ff195e978ffec360db5c0b3a05e20452

    View full-size slide

  12. 截圖來源:https://www.facebook.com/ithomeonline/posts/pfbid02EgAHmdduZS4fd4JDizPhw8Af5wcnWUwZD3xChRYHWLwU3HZm9L7KWcwjqXvFqF76l

    View full-size slide

  13. 資安問題,每天都在發生
    - 經典中的經典案例 Log4j
    - Open Source
    - Application
    - Package
    - Library
    - ……more

    View full-size slide

  14. 那麼 Security 從哪裡來?
    也許 DevSecOps 是一個答案

    View full-size slide

  15. DevOps -> DevSecOps?

    View full-size slide

  16. 圖片來源:https://about.gitlab.com/platform/?stage=plan

    View full-size slide

  17. Secure
    Plan Code Build Deploy
    Monitor
    Analyze
    Operate
    從你最容易著手的地方開始!

    View full-size slide

  18. Deploy & Operate
    Plan & Create Integrate & Verify Monitor & Improve
    邁向DevSecOps的第一步
    只要在合併feature branch之前進行安全掃描,
    可以認為是DevSecOps的第一步
    ● 開發團隊主動進行的 AppSec
    ● 早期的安全性測試( shift-left)
    ● 自然地促進修復漏洞的整個週期
    ○ 檢測漏洞、評估漏洞、修復原始碼、掃描原始碼、
    解决問題
    圖片來源:GitLab 原廠 SA - Toshi @ 2023.06.07 GitLab 午餐交流分享會 「如何開始導入 DevSecOps 而不是 DevOps + Sec?」

    View full-size slide

  19. 有哪些「掃描 / 檢查」是有機會立即實施的呢?
    - SAST (Static Application Security Testing)
    - Dependency Scanning
    - Secret Detection
    - License Compliance
    - Container Scanning
    - DAST (Dynamic Application Security Testing)
    - Web API Fuzz
    - more…

    View full-size slide

  20. 今天就讓我們輕輕鬆鬆的
    體驗 DevSecOps 的第一步吧!

    View full-size slide

  21. 進入 Lab 內容

    View full-size slide

  22. Lab 環境說明

    View full-size slide

  23. Lab 環境
    GitLab.com
    Training Environment
    My Test Group (User1)
    My Test Group (User2)
    My Test Group (User3)
    My Test Group (User4)
    Group
    Runner
    Group
    Runner
    User1
    User2
    User3
    User4

    View full-size slide

  24. Lab Sample Project
    https:/
    /gitlab.com/gitlab-learn-l
    abs/sample-projects/quick-devs
    ecops-hands-on-workshop

    View full-size slide

  25. Deploy & Operate
    Plan & Create Integrate & Verify Monitor & Improve
    邁向DevSecOps的第一步
    圖片來源:GitLab 原廠 SA - Toshi @ 2023.06.07 GitLab 午餐交流分享會 「如何開始導入 DevSecOps 而不是 DevOps + Sec?」

    View full-size slide

  26. Secure
    Plan Code Build Deploy
    Monitor
    Analyze
    Operate
    DevSecOps

    View full-size slide

  27. 圖片來源:https://github.com/rung/threat-matrix-cicd
    也別忘了關心 Pipeline 本身的安全性

    View full-size slide

  28. DevSecOps != Sec + DevOps

    View full-size slide

  29. 圖片來源:https://about.gitlab.com/platform/?stage=plan

    View full-size slide

  30. DevSecOps 不只是將 Sec 工具放進
    Lifecycle 之中
    但可以是一個好的開始!

    View full-size slide

  31. 你需要建立 DevSecOps Mindset
    長期來說,這才是關鍵

    View full-size slide

  32. 實踐 DevSecOps 的常見挑戰

    View full-size slide

  33. 尚未實踐 CI / CD
    那你連今天介紹的第一步都⋯⋯

    View full-size slide

  34. Sec 那很貴吧?
    回到 風險、成本、品質之間的關係去評估與思考

    View full-size slide

  35. 不知道如何掃描與修復漏洞?
    付費產品很成熟、開源工具的生態系也持續成長中

    View full-size slide

  36. 繁複過多的工具整合?
    想一想為何 Platform engineering 會興起

    View full-size slide

  37. 不知道如何落地 DevSecOps?
    萬事起頭難,但你不起頭,那永遠都難

    View full-size slide