大家下午好！我今天講的主題是關于從DevOps到DevSecOps，我們需要做哪些事情。

首先自我介紹一下。我之前主要是做JAVA開發，時間比較久，來DaoCloud之前，我就職于EMC中國研究院，主要從事和跟云計算相關的研究工作，15年加入了互聯網金融公司，任首席架構師。15年加入DaoCloud的時候，也是首席架構師，到了今年6月份的時候，我們做了一些調整，現在主要是負責整個產品設計，我們的產品的核心就是云原生，包括DevOps，為服務和容器。

我先放一張圖，這是我們對DevOps本質的理解，也是相當于把大家說到的東西梳理一下。包含技術規范、流程規范，最上面是文化建設，剛才嘉賓說到從上到下推行 DevOps 是非常容易的，但是從下到上非常困難。原因是推行DevOps涉及到整體體系的改變，包括對組織架構和整個企業文化建設都是有要求的。所以DevOps底層是工具支撐，包含開源的工具或者商業軟件，這在市場上都非常多。我們可以分四個維度對工具進行分類：項目管理、研發管理、測試管理到部署管理，最后擴展到運維及運營。工具的涉及面比較廣。我們要做的事情就是怎么把這些工具串起來。每個工具有自己的語言體系，有自己運作的方式，但是一旦把這些工具串起來以后，比如說我們有項目管理工具JIRA，里面包含了項目的概念，那項目怎么和代碼庫銜接起來，兩者是什么關系。還有制品庫，還有自動化測試等等這一系列概念之間的關系，我們需要把它們按照企業自己的流程和體協組織起來。同時，我們要把數據收集在一起，比如說這個項目里面有多少任務、代碼提到多少次、持續提升流水線提升了多少次、單元測試結果是什么、自動化測試的結果是什么、是不是已經達到可以提上線申請等等，這個是我們今天在做的事情。上面的規范、流程，可以參考中國信通院輸出的標準，這樣的話大家可以有一個更深刻的認識。

接下來的這個流程每個企業都不一樣。這個是我們的一個客戶，他做的一款2C的軟件。這個過程中大家可以看到，整個流程還是比較復雜的，包括從最早的立項、需求分析，需求評審，排優先級，項目排期，接著進行正開發，測試，然后是預生產和生產部署等，這個過程中大家可以看到，DevOps最核心的是除了底下的工具之外，更關鍵的是怎么把這些工具串在一起，支撐我們企業的流程。而這個企業的流程，每個企業都不一樣，但大致流程可以分不同的項目管理、研發管理、測試、運維部署。

這是一個典型的工具鏈。項目管理我們可以用JIRA，測試用例管理可以用Zephyr，這是一個JIRA 的插件。通常我們都是用Excel管理測試用力，測試過程中一邊執行，一邊記錄，這樣效率就比較低。關于代碼管理，可以用GitHub Enterprise，這是收費的軟件。開源可以用GitLab Community版本。構建可以用Maven或者Gradle，單元測試可以用JUnit或者TestNG，接口測試可以用RTF，制品倉庫可以用Nexus。要提交上線申請的時候，怎么告訴審核人員說我的測試是沒有問題的，這個就需要進行代碼評審，我們可以用GitHub Enterprise，代碼質量管理可以用SonarQube。我們可以根據企業不同要求定制SonarQube的規則，當然這個要求還是非常高的。安全掃描，這個后面會講到，CheckMarx是一家商業公司，是做白盒審計的，你可以把代碼上傳上去，它會給你做掃描，最后分析出到底有沒有漏洞或者漏洞是什么。然后這個發布是DaoCloud的差評，應用性能管理包括系統、應用到業務的監控。壓力測試一般可以用JMeter，很關鍵的一點，就是自動化執行。當我完成部署以后，我能不能自動觸發一個測試的流水線，去跑一下接口測試，或者跑壓力測試，跑完以后測試報告能夠自動生成并通過郵件的方式發出來，包含這次跑了多少個壓力測試，平均時間多長，錯誤率多少，這些很關鍵。還有很重要的一點，客戶希望這些系統的用戶認證是一體的，比如我們可以用OpenLdap或者Windows AD。把這些工具很好用起來，就基本涵蓋了DevOps的主要工作了。

但是今天面臨的安全問題是非常有挑戰的，我在2015年加入互聯網公司以后就遇到很多跟安全相關的問題，包括一些安全攻擊，如果你做的不好就不行。我們發現Struts有很多安全漏洞，滲透測試的時候，通過SQL注入，最后拿到一些不應該拿到的信息。下面是一個比較有意思的案例，特斯拉云服務器遭遇黑客劫持，因為它有一些端口沒有關掉，就被黑客攻擊了了，變為加密貨幣挖礦機，結果機密數據遭到泄露。整個攻擊的路徑是這樣，一般都會掃描一些公共的端口，如果你沒有設置密碼就可以訪問到，掃描里面的數據內容，然后拿到管理員的賬號信息。黑客最終獲取了一些敏感的用戶數據。這是大概的攻擊的順序。當時的環境是在云的環境上。