儘管資安越來越受重視，但在新創軟體公司中，為了求快速和產品獲利，似乎無可避免地只能把資安放在更後面的順位。 於是在現有的 DevOps 開發文化中，有人提出了 DevSecOps，希望能將資安融入在快速、持續交付的文化中，讓產品不斷推進的同時，也可以持續保持在足夠的安全性上。 身為一個 DevOps、SRE 或開發者，我們可以先從容易做、且有價值的地方導入資安，並且用 DevOps 精神持續疊代強化。 議程會先從攻擊角度出發，以攻擊的思維來看新創公司常見的資安問題。接著介紹 DevSecOps，並且以實際例子來介紹開發時各階段實踐的方法。 最後回歸 DevSecOps 的人與文化。要做好資安，文化是不可或缺的，讓大家都有做資安的權利和責任，並且一起推動資安。

1. 新創導入資安？從 DevSecOps 開始
YSc
DevOpsDays Taipei 2019

2. 我們要保護什什麼？

3. 真實性風險評估 適合新創的資安

4. DevSecOps

5. YSc
• HITCON Speaker & Trainer
• Balsn CTF Team Co-Founder
• Bug Bounty Hunter
• Security Engineer in Appier and COBINHOOD
• ⽩白帽觀點 https://secview.io/
ｙ

6. DevSecOps for Startups

7. 0. 由上⽽而下

8. – AWS CTO Werner Vogels
Security is EVERYONE's job

9. 1. 評估風險
2. 提升資安意識
3. 基礎設施強化
4. 實踐偵測與反應

10. 1. 評估風險

11. 威脅模型
• （What）了了解你的資產
• （Who）威脅族群
• （Where）網站產品、雲端服務
• （How）真實性攻擊模型、STRIDE
Business
Impact
What
Where Who

12. 資料外洩 錯誤配置資安意識不⾜足

13. 2017 年年美國的資料外洩事件超過 1,300件[1]
2017 年年全球外洩資料共 26 億筆資料[2]
2018 年年有 58%的受害者來來⾃自⼩小公司[3]
資料外洩 錯誤配置資安意識不⾜足

14. 2018 年年 83%的公司表⽰示遭受釣⿂魚攻擊[1]
2018 年年 OpenVPN 調查有 25%的員⼯工在每個帳號都⽤用相同密碼[2]
資料外洩 錯誤配置資安意識不⾜足

15. 資料外洩 錯誤配置資安意識不⾜足

16. – Gartner
https://www.bnext.com.tw/article/53826/awareness-cybersecurity-cloud
2022 年年時會有 95% 的雲端資安威脅源⾃自⼈人為疏失。

17. 2. 提升資安意識

18. 帳⼾戶、⾝身份管理理 每個⼈人的權責開發思維

19. 3. 基礎設施強化

20. 環境 速度持續

21. 模組化
Security-as-code
資安程式化、資安架構、重複使⽤用
⾃自動化
測試、監控、過濾、回報與反應⾃自
動化、持續疊代
標準化
資安測試項⽬目、風險量量化、威脅模
型分析

22. CI
CD
Design Code Commit CI Tests Code Review
Release Prod Deploy Tests Stage Deploy

23. CI
CD
Design Code Commit CI Tests Code Review
Release Prod Deploy Tests Stage Deploy
Runtime Application Self-
Protection (RASP)
Security Architecture Design
Static Application Security
Testing (SAST)
Security Code Review
Dynamic Application Security
Testing (DAST)
Interactive Application
Security Testing (IAST)
Software Composition
Analysis (SCA)

24. CI
CD
Design Code Commit CI Tests Code Review
Release Prod Deploy Tests Stage Deploy
Runtime Application Self-
Protection (RASP)
Security Architecture Design
Static Application Security
Testing (SAST)
Security Code Review
Dynamic Application Security
Testing (DAST)
Interactive Application
Security Testing (IAST)
Software Composition
Analysis (SCA)

25. CI
CD
Design Code Commit CI Tests Code Review
Release Prod Deploy Tests Stage Deploy
Runtime Application Self-
Protection (RASP)
Security Architecture Design
Static Application Security
Testing (SAST)
Security Code Review
Dynamic Application Security
Testing (DAST)
Interactive Application
Security Testing (IAST)
Software Composition
Analysis (SCA)
• Python: https://github.com/
PyCQA/bandit
• Go: https://github.com/
securego/gosec
• Nginx configuration: https://
github.com/yandex/gixy
• ScoutSuite: https://
github.com/nccgroup/
ScoutSuite
• Compliance tools
• JS libraries: https://
retirejs.github.io/retire.js/
• 3rd party libraries: https://
snyk.io/
• Container analysis
配置檢查（Configuration） 軟體組件分析（SCA）靜態資安測試（SAST）

26. 33(+) Kubernetes
security tools
https://sysdig.com/blog/33-kubernetes-security-tools/

27. CVSS 3.0
https://www.first.org/cvss/calculator/3.0

28. 4. 實踐偵測與反應

29. https://cloud.google.com/products/#jump-to-8 https://aws.amazon.com/tw/products/security/

30. Bug Bounty
https://hackerone.com/hacktivity

31. CI / CD Trigger
Issue Tracker
CI / CD Alert
Repository
Cloud Service

32. CI / CD Trigger
SAST
DAST
SCA
Issue Tracker
Vulnerability
Management
CI / CD Alert
Repository
Security Testing
Cloud Service

33. CI / CD Trigger
SAST
DAST
SCA
KMS
Logging
Issue Tracker
Vulnerability
Management
CI / CD Alert
Repository
Security Testing
Cloud Service

34. CI / CD Trigger
SAST
DAST
SCA
KMS
Logging
Issue Tracker
Vulnerability
Management
CI / CD Alert
Bug Bounty
Repository
Security Testing
Cloud Service
DLP
Monitor

35. 0. 由上⽽而下
1. 評估風險：認清⾃自⼰己和敵⼈人
2. 提升資安意識：預防
3. 基礎設施強化：及早處理理資安
4. 實踐偵測與反應：事發處理理

36. ⽩白帽觀點
https://secview.io

37. Thanks