国内外大型企业实践表明,标准化和工具赋能是企业成功的关键所在。DevOps 标准及基于标准的 DevOps 持续交付流水线平台和项目实践,可以较大幅度地提质增效,更加安全敏捷地提高企业市场竞争力!“以评促建,以评促改”,以评估为抓手,让 DevOps 标准更快更好落地,助力企业数字化转型。
2023年7月18日,由中国信息通信研究院主办的“2023 XOps 产业创新发展论坛”在北京成功召开,本次大会以“质效融合·行稳[智]远,共创XOps时代新未来”为主题,旨在提高企业研发运营能力水平,加强XOps体系建设经验交流分享。大会上,中国信息通信研究院隆重公布了 DevOps / AIOps 系列标准最新批次评估结果。
申万宏源证券有限公司(简称“申万宏源”)参与评估的项目为“业务中台项目”,该项目顺利通过由中国信息通信研究院开展的《研发运营一体化(DevOps)能力成熟度模型》安全及风险管理(DevSecOps 标准)安全开发与安全交付模块 2 级评估,代表着申万宏源证券有限公司在 DevSecOps 领域能力达到国内先进水平。
在本批次 DevOps 系列标准评估结果中,申万宏源也同时通过了 DevOps 持续交付标准 3 级评估。
评估单位:中国信息通信研究院
2023年7月18日在“2023 XOps 产业创新发展论坛”主会场上,由中国通信标准化协会副理事长兼秘书长代晓慧女士和中国信息通信研究院云计算与大数据研究所所长何宝宏先生为企业授牌:
此次,我们邀请到申万宏源证券有限公司首席信息官谢晨先生、申万宏源证券有限公司信息技术保障总部总经理陈滨先生、申万宏源证券有限公司董事副总经理张嵩先生、申万宏源证券有限公司应用与业务安全团队负责人王忭思女士,深聊申万宏源参与评估的细节与故事,分享申万宏源 DevSecOps 实践的经验。
Q & A
申万宏源证券有限公司首席信息官谢晨
Q:您好,请介绍一下您和您的企业,以及此次参与评估的项目。
谢晨:申万宏源证券有限公司是由新中国第一家股份制证券公司——申银万国证券股份有限公司与国内资本市场第一家上市证券公司——宏源证券股份有限公司合并组建而成,是国家主权财富基金——中国投资有限责任公司的直管企业。公司营业网点遍布全国,在香港设有子公司,并设有伦敦、东京、新加坡、首尔等海外分支机构。申万宏源作为历史悠久的老牌券商,将以突出的盈利能力、专业的业务能力、高度的责任意识,积极为股东、客户、社会创造价值,全力绘就“有信仰、敢担当”的国际一流投资银行新篇章,为中国资本市场创新发展做出更大贡献。
业务中台项目是公司目前比较重要的基于微服务架构的自研项目,项目从2018年开始上线,面向各类系统提供接口服务以及提供业务审核、管理等功能,目前主要涵盖开户、业务办理、数据服务、AI能力等业务场景,主要功能包括客户认证、业务中心、协议中心、业务配置、通用能力、系统对接、交易服务、对账单等。
Q:通过安全及风险管理标准(DevSecOps标准)的评估给您的企业带来了什么收获?
谢晨:通过今年的 DevSecOps 贯标工作,申万宏源证券最大的收获就是与项目团队一起打造了一套安全左移的样板间。将安全制度、安全流程、安全工具链嵌入到至需求、设计与开发、构建、部署阶段,打通了软件全生命周期安全管理。
在制度上明确了软件开发生命周期中各阶段的分工、职责和1+8的技术指南。在流程上完善了对于自主研发、合作研发、外部采购等不同类型系统以及不同安全风险安全系统的针对性安全能力覆盖制度。
在工具上,实现了一套流水线集成、平台化的安全工具链,为设计、开发人员提供便捷的使用体验,安全团队建立了灵活、实时的度量指标。
申万宏源证券有限公司信息技术保障总部总经理陈滨
Q:恭喜您通过 DevOps 标准评估,此次贵公司项目通过的是安全及风险管理(DevSecOps)标准中安全开发与安全交付2级,表明达到了国内先进水平,可以分享您的感受吗?
陈滨:很高兴申万宏源证券能够参加信通院牵头组织的 DevOps 研发运营一体化能力成熟度模型安全及风险管理部分的评估,我们首个项目参评并达到2级的水平,这是对申万宏源 DevSecOps 体系建设的肯定,也为我们后续安全开发安全体系的建设带来启发和收获。在此特别感谢信通院各位专家在标准评估过程中对于我司的指导和帮助,同时非常感谢参评团队全体人员的辛勤付出与努力。
Q:贵公司是如何决定参与 DevSecOps 标准评估工作中的?
陈滨:DevOps敏捷开发理念提高了软件开发效率,但也对软件系统自身的安全性提出了更高的要求,不仅要求运营阶段的安全监测与防护,而且要求安全左移为整个软件全生命周期提供安全保障。企业的数字化转型需要兼顾效率和安全,迫切的需要探索出一套成熟、完善、可落地的软件开发安全体系。通过DevSecOps 推动企业软件的安全理念升级,提升数字化时代软件的安全性。
申万宏源证券有限公司董事副总经理张嵩
Q:DevSecOps 核心理念为安全是整个 IT 团队(包括开发、运维及安全团队)每个人的责任,是否可以详细的给我们介绍下,贵司是如何从文化、流程及技术三方面落地 DevSecOps 的?
张嵩:文化上,我们针对应用安全在需求设计、开发、继续集成、安全测试、部署及上线五个模块针对开发、测试、架构、安全团队人员规划了17各模块的安全培训并逐步落地。推动全体信息技术人员加强对于信息安全的重视,加深对于安全职责和安全分工的认识,增强安全技术基础。
流程上,完善了对于自主研发、合作研发、外部采购等不同类型系统以及不同安全风险安全系统的针对性安全能力覆盖制度。通过DevOps平台在设计评审等环节加入安全的评审环节;在开发流水线上通过各类安全测试质量门禁保证交付质量。
技术上,通过和项目团队实际项目的试点,打磨出成熟、完善、可落地的生命周期安全工具链。通过“插件+底座”形式的平台,实现安全团队对于工具链的统一管理,项目团队的便捷使用。同时,结合流水线各类自动化门禁完成对于开发流程的实时管控。工具链的平台化策略,有效降低了安全工具的使用门槛和繁琐的工具管理,通过平台化实现了统一管控以及和DevOps平台、流水线的灵活打通。
Q:安全与风险管理标准对于企业安全风险管控能力提升提供了有效的指引,请问贵司对于 DevSecOps 落地实践的下一步计划是什么?
张嵩:通过DevSecOps的项目级落地实践,我们摸索出了一套有效的流程、技术和平台。未来我们将进一步完善申万宏源的安全能力体系,使得安全开发、安全交付、安全运营能力在更多项目团队落地实践,最终实现安全体系与能力在软件生命周期与项目团队的全覆盖。
申万宏源证券有限公司应用与业务安全团队负责人王忭思
Q:对于此次参评的项目哪些特色?在日常安全风险的管理方面,面临哪些安全挑战?
王忭思:业务中台是以自研为主,通过微服务架构、容器化部署和内部接口给多个应用提供服务的已经上线多年的系统,服务于企业内各业务场景、业务需求。中台系统不断在探索和使用各项新技术、持续的发展和完善研发模式,以快速响应业务需求,向客户提供高效、稳定、安全的服务平台。在开源治理、容器安全、以及数据在保密性、完整性和可用性等方面,面临较大的挑战。
Q:目前国内的 DevSecOps 落地仍然处于发展阶段,贵公司达到国内先进水平,请问贵司此次通过准备评估遇到哪些困难?如何解决的?
王忭思:评估过程中,希望实现高效快速打造DevSecOps的目标,时间的紧迫是首要问题。首先,通过最初的“平台化”理念的设计,降低了逐个落地工具的难度和时间。其次,通过“工具”驱动“流程”的方式,尽快在开发、测试各个节点完成工具卡点部署,并通过工具效果来驱动进一步的流程优化。同时,也通过建立虚拟合作小组,与各个团队进行分工、合作,借助各团队已有的平台和实践,极大提升了落地的效率。团队间合作建立安全公约的精神和模式,建立职责共担,一起分工协作的大组织级跨部门协同落地实践。
评估现场:
系统截图:
行业参评详情
截至目前,证券&基金&期货行业参与 DevOps 能力成熟度模型评估的企业及其评估数量如下:
* 统计截止日期至:2023年7月18日。数据来自于DevOps评估官方网站,以评估总数排序,数量相同则依据评估批次先后排序。
* 数字为对应企业通过 DevOps 持续交付标准 3 级、技术运营标准 2 级/2+级、安全及风险管理2级、系统和工具评估的项目/模块数量。上述统计数据已包含企业及子公司参评情况。研发运营一体化(DevOps)能力成熟度模型介绍:
《研发运营一体化(DevOps)能力成熟度模型》系列标准是由中国信息通信研究院牵头,云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 DevOps 系列标准,是最完整、最权威、最具行业指导性的研发运营一体化(DevOps)能力标准之一。由中国信息通信研究院主导的 DevOps 标准已由工信部发布并被众多金融、通信和互联网等行业名企纷纷采用并通过评估。
与此同时,DevOps 标准已于2020年7月在联合国直属标准化组织 ITU-T 正式结项,成为全球首个 DevOps 国际标准。研发运营一体化(DevOps)总体架构可划分过程(敏捷开发管理、持续交付、技术运营)、应用设计、安全及风险管理、系统和工具、业务价值管理、合作开发运维、持续测试、效能度量、平台工程、系统可靠性与连续性工程等。
