中国农业银行通过 DevSecOps 标准评估,相关能力达到国内先进水平
国内外大型企业实践表明,标准化和工具赋能是企业成功的关键所在。DevOps 标准及基于标准的 DevOps 持续交付流水线平台和项目实践,可以较大幅度地提质增效,更加安全敏捷地提高企业市场竞争力!“以评促建,以评促改”,以评估为抓手,让 DevOps 标准更快更好落地,助力企业数字化转型。
2022年12月26日,中国信息通信研究院隆重公布了 DevOps 系列标准最新批次评估结果。中国农业银行股份有限公司(简称“中国农业银行”)参与评估的项目为掌上银行支付结算产品项目和“微捷贷”线上普惠金融产品项目,两个项目均顺利通过中国信通院《研发运营一体化( DevOps )能力成熟度模型》安全及风险管理(DevSecOps)标准【安全开发+安全交付】两个模块的 2 级评估。代表中国农业银行 DevSecOps 领域能力达到国内先进水平。
目前,中国农业银行总共通过 17 项中国信通院 DevOps 标准评估,其中通过 DevOps 持续交付标准评估 12 项,通过 DevOps 应用设计标准评估 1 项,通过 DevOps 安全及风险管理标准评估 4 项。本批次评估已于2023年1月6日中国信通院主办的 “2022 GOLF+ IT新治理领导力论坛”上正式举行授牌仪式。
此次,我们采访了中国农业银行研发中心副总工程师谢之波先生和研发中心安全与风险管理部专家刘志丹女士,一同深聊团队在项目参与评估时的细节和故事,分享中国农业银行 DevSecOps 实践的经验。
中国农业银行研发中心副总工程师 谢之波
Q:谢总好,请介绍一下您和您的企业,以及此次参与评估的项目。
谢之波:本次农行通过 DevSecOps 2 级评估的有两个项目,分别是掌上银行支付结算产品和“微捷贷”线上普惠金融产品。
1、掌上银行支付结算产品是农行个人掌银支付结算业务建设的重要里程碑。支付结算产品线作为掌银上交易量高、风险最大的产品,以守护客户安全为目标,以“生产安全”为底线,通过“流程安全-认证安全-信息安全”三大能力提升,守护客户资金,保护客户隐私,为客户提供安全便捷的产品体验。通过项目建设,新增条码支持场景2000余种,支持商户新增20万,商户增长率150%;持续优化流程断点,进一步提升转账全流程成功率至92%,支付全流程成功率至90%,助力支付MAU提升40%,客户数增长5000万。
2、“微捷贷”线上普惠金融产品是农行首个客户全自助操作、流程全自动审批、大数据精准风控的小微企业全线上融资产品。利用分析金融资产、房贷、纳税等各项数据,批量挖掘潜在客户并测算预授信额度,借助网银、掌银渠道简化小微企业融资流程,提供“在线申请、实时审批、自主提款、自助还款”的全流程网上融资服务。目前产品辐射小微客户累计近百万,日均签约1000笔,户均贷款金额175万元。
Q:恭喜通过DevOps 标准评估,此次贵公司项目通过的是安全及风险管理(DevSecOps)2级评估,表明达到了国内先进水平,请说一下您此时的感受。
谢之波:作为农业银行首批次参评 DevSecOps 的两个项目,能够顺利地通过DevSecOps 2 级评估,我们感到很荣幸。这次评估验证了农业银行组织级的安全研发运营水平,也使农业银行有幸成为同时通过多个 DevSecOps 能力子域贯标的首家企业,这是对农业银行企业级安全与风险管控能力极大的肯定。
在这里,首先要感谢信通院对我行安全研发运营评测工作的大力支持,感谢各位评估专家全程细致的测评,对我行后续安全能力优化方向和建设思路给出了周到切实的建议。
后续,我们将持续沉淀最佳实践,拓展 DevSecOps 应用范围,不断改进,以安全研发运营一体化能力建设,支持企业的数字化转型,打造“业技相融合、安全来助力”的良好发展生态,不断提升企业的安全综合水平。
Q:贵公司是如何决定加入 DevSecOps 标准评估工作中的?
谢之波:随着业务线上化的发展趋势,以及众多前沿技术的引入,针对金融行业产品进行的攻击手段和攻击形态层出不穷,同时国家和监管机构对金融安全日益重视,这就给金融企业研发运营安全能力提出了更高的要求。农业银行作为国家关键信息基础设施运营机构之一,更需要高度重视网络安全威胁的防护和抵御,不断提升产品安全水平。
2019年,农业银行在数字化转型背景下,启动了 DevOps 建设。与此同时,我们也意识到,基于 DevOps 的建设成果,可以很好地促进安全研发运营领域的能力建设。因此,在2021年,农业银行基于 DevOps 的建设成果,全面启动了 DevSecOps 体系建设,并决定参与 DevSecOps 领域的评估工作。
Q:通过 DevSecOps 标准评估对您企业带来了什么帮助?对贵团队有哪些影响?
谢之波:一是实现了应用安全管控能力与项目管理流程及流水线的无缝对接,验证了组织级的安全管控水平。二是在总结农业银行 DevSecOps 体系建设成果的基础上,也看到了在度量反馈能力建设等方面仍存在的优化空间,为下一步工作重点指明了方向。三是促进了安全团队建设,从企业级、团队级、项目级分别落实了安全管控要求,打破了部门间沟通壁垒,形成了“人人为安全”的良好氛围。
中国农业银行研发中心安全与风险管理部专家 刘志丹
Q:对于此次参评的项目哪些特色?在日常安全风险的管理方面,面临哪些安全挑战?
刘志丹:一方面,掌上银行支付结算产品、微捷贷都是暴露在互联网上的面客类应用系统,面对的安全风险较高。另一方面,这两个项目所对应的业务又都是农业银行的重要业务,用户基数大、受众广、业务价值高。因此,本次农业银行选择首批参评 DevSecOps 的项目时,就优先选择了这两个项目,以便能相对全面地检验安全研发运营能力。
Q:DevSecOps 核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,是否可以详细的给我们介绍下,贵司是如何从文化、流程及技术三方面落地 DevSecOps 的?
刘志丹:文化方面,我们做了三方面的工作。一是优化团队建设,通过设置企业级、团队级、项目级安全管理角色,明确不同层面团队的职责分工和协作机制,形成安全研发运营体系的“三道防线”,营造“人人为安全”的良好氛围。二是建立奖惩机制,设立安全评先奖项,并将安全漏洞和安全事件相关指标纳入考核评价范畴,奖优罚劣促进安全意识深入人心。三是开展安全培训,针对不同的员工群体组织有针对性的培训,举办安全攻防比赛,“以赛促学、以赛代练”,再结合定期进行的内部攻防实战演练,让全员都参与安全研发运营相关工作中。
流程方面,我们基于 DevOps 体系建设成果,将安全需求、安全设计、安全编码、安全测试、安全运营等管控活动,无缝对接到贯通的项目管理链路上,实现项目研发运营全流程的端到端安全管控有效落地。
技术方面,一是在流水线中集成SAST、SCA、IAST等安全检查组件,有效检出和规避安全风险:使用源代码安全检查工具进行SAST扫描分析,提前规避开发人员安全开发意识不强引入的安全漏洞;使用SCA工具提前规避开源组件漏洞风险和开源许可证商业使用风险;使用IAST扫描工具增加交互式安全测试能力,提升安全漏洞发现能力。二是综合使用DAST工具、MAST工具和人工渗透,在系统测试阶段检查上线前应用系统可能存在的安全缺陷。三是研究并自研了开源组件安全工具进行开源组件配置基线检查,在本地开发环境及流水线中均启用工具检查,以进一步提高高危的组件配置漏洞的排查效率。
Q:此次通过 DevSecOps 评估的过程顺利吗?遇到什么困难?如何解决的?
刘志丹:评估过程总体上是比较顺利,但也遇到了一些困难,主要是在跨部门协作方面。相较于 DevOps 其他领域而言,DevSecOps 领域涉及到的职能条线、工作团队几乎是最广泛的,尤其是在农业银行这样规模的企业,各团队分工具体而明确,使 DevSecOps 涉及众多职能部门,如基础设施管理、数据管理、第三方管理、研发项目管理、工具平台建设以及安全研发管理和安全运营,都是分属于不同的部门。
为了解决跨部门沟通协作问题,我们在 DevSecOps 体系建设伊始,便向相关领导汇报了 DevSecOps 建设的重要性和价值,得到了领导层面的充分支持,进而组建了专项工作柔性团队,以多种方式定期组织会议就 DevSecOps 体系的建设进展、遇到的问题和困难以及下一步工作计划进行沟通会商,从而有效推动各项工作的开展。
Q:对于 DevSecOps 今年的实施,您觉得最大的收获是什么?您的下一步计划是?
刘志丹:最大的收获是在试点项目的研发运营中实现了良好的落地,而且在组织级的安全水平的提升上,也收获了良好的反馈和成效。
下一步计划主要有三个方面:首先,基于本次测评的工作成果,我们考虑进一步增加评估的广度,选取其他业务条线的有代表性的项目参与评估;其次,随着 DevSecOps 体系走向深入,我们会不断总结工作经验,针对度量反馈能力建设以及云安全等新兴技术的安全管控,持续进行探索和完善;最后,我们将重点关注人才队伍建设,打造高质量、多层级、规模化的 DevSecOps 专家团队。
Q:对于 DevOps 的发展前景,您怎么看?
刘志丹:信通院牵头的云计算开源产业联盟(OSCAR)为 DevOps 在国内的交流和推广搭建了一个非常好的平台,促进了业界的交流,并且有效推动了国内 DevOps 体系在各行业的落地。希望相关企业、单位可以继续在标准规范、专家资源扩充、工具平台建设、新技术预研等方面,更积极地参与进来,为 DevOps 的发展分享更多更好的案例和实践。
评估现场合影:
国有银行参评详情
截至目前,国有银行参与 DevOps 能力成熟度模型评估的企业及其评估数量如下:
* 统计截止日期至:2022年12月26日,数据来自于DevOps评估官方网站,并依据评估总数排序,数量相同则依据评估批次先后排序。
数字为对应企业通过 DevOps 持续交付标准 3 级、技术运营标准 2 级/2+级、安全及风险管理2级、系统和工具评估的项目/模块数量。上述统计数据已包含企业及子公司参评情况。其中农行2个CO项目待授牌。
研发运营一体化(DevOps)能力成熟度模型介绍:《研发运营一体化(DevOps)能力成熟度模型》系列标准是由中国信息通信研究院牵头,云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 DevOps 系列标准,是最完整、最权威、最具行业指导性的研发运营一体化(DevOps)能力标准之一。由中国信息通信研究院主导的 DevOps 标准已由工信部发布并被众多金融、通信和互联网等行业名企纷纷采用并通过评估。
与此同时,DevOps 标准已于2020年7月在联合国直属标准化组织 ITU-T 正式结项,成为全球首个 DevOps 国际标准。研发运营一体化(DevOps)总体架构可划分过程(敏捷开发管理、持续交付、技术运营)、应用设计、安全及风险管理、系统和工具、业务价值管理、合作开发运维、持续测试等。