1.4 金融行业推动DevSecOps的动机与目标

现代金融行业已经拥有上百年的运行时间。在过去的近五十年,全球金融机构一直都在不断应用最新的科技来提高金融机构的运作效率和给顾客提供更好的金融服务。在当下的移动互联网时代,以及云计算的应用上,它们也遇到很大的挑战。

在过往的十多年,互联网对整个世界的改变可谓翻天覆地。同样地,金融机构也在紧密地跟上这个大潮,从网上银行到手机银行,每一项它们都不想被落下。对金融机构来说,科技变革带来的除了挑战还有机遇。随着互联网和金融的不断紧密结合,互联网金融已经成为另一个发展热点。而当中,技术创新所扮演的角色也越来越重要。伴随着技术的创新,软件开发的模式也在发生翻天覆地的变化。从瀑布到敏捷开发,越来越多金融机构也开始实施DevOps。

DevOps大幅度提升了服务交付的速度,前线业务可以更快地接触到用户,后台可以及时得到客户反馈。正是因为DevOps给金融机构带来的诸多益处,全球金融机构都在不断地推进DevOps。同时,基于金融机构已经有的基础架构,从引入DevOps工具到平台搭建,再到大量项目往平台迁移,一步一步地,DevOps平台成为另外一套新的金融基础组件。但是,在DevOps让软件的交付速度和质量不断提升的同时,传统的安全运营模式(例如上线前的安全扫描、安全测试等)已经跟不上服务的交付速度了。在市场和业务的强大压力下,不少项目可能需要冒着有严重安全隐患的风险上线,而伴随着的就是非常严重的合规风险。

众所周知,金融行业是牌照性行业,有非常强的合法合规要求,接受金融监管机构的严格监督。金融机构的各项业务和IT发展都必须遵守各种各样的规范和标准要求。任何系统性事故,特别是安全事故必须在规定时间内上报相关监管机关,因此金融机构内部的合规部门是一个非常重要的“把关”部门。

同时由于互联互通时代的到来,金融机构的业务也会面对各种各样的安全威胁。无论是有组织的带有特定目的的攻击还是高级持续威胁,金融机构的被攻击面正在不断扩大和延伸。从网络攻击工具的不断专业化到产业化,它们所带来的危害越来越大。而金融机构拥有大量敏感数据,取得和贩卖这些数据往往是攻击者的最终目的。但在金融机构内部,由于发展的不平衡,安全团队的人手和技能往往参差不齐。在面对项目的快速迭代和交付的同时,在更高业务要求的压力下,安全团队经常会疲于处理相关安全事件或者是测试任务,这使得在项目上线和交付时,安全团队往往成为所谓的“瓶颈”。

与此同时,由于在信息系统基础架构方面,在过往几十年的发展过程中,金融机构大多数都是借用外部的技术力量,采购外部的产品,缺少深厚的技术积累,加上各种系统架构错综复杂地结合在一起,安全团队没有办法像孙悟空那样,跳上筋斗云来一个十万八千里,而只能在路上慢慢地一个一个打妖怪。

因此,为了适应DevOps的全新开发过程,DevSecOps转型应运而生。DevSecOps的出现是为了改变和优化传统模式下安全工作的一些现状,比如安全测试的孤立性、滞后性等问题,它通过固化流程、加强不同人员协作,以及工具、技术手段将可以自动化、重复性的安全工作融入研发体系,让安全及合规作为属性嵌入DevOps(开发运营一体化)中,在保证业务快速交付价值的同时实现安全内建,降低金融机构信息系统的安全风险和业务的合规风险。