以邏輯性、安全性考量為優先的 DevSecOps,能協助企業達到最佳化的管理效能與資安合規。

以用戶為本的Fintech 2.0,從根本核心進行重新構想,以提供數位原生金融服務,此外加上疫情及ESG話題備受全球關注影響所致,金融業者無不加速引入各式金融科技,實踐推動數位轉型,以符合數據治理、監管、資安與隱私保護等新法規。

而為達到合規要求,金融業皆嘗試導入 DevOps 管理工具,致力於縮短產品開發周期以回應市場的需求;然而,近年來因金融服務效能不佳或中斷導致用戶抱怨等問題層出不窮,在在顯示出,若僅單純導入快速的 DevOps 開發流程,而未搭配良好的品質管理規劃,反而拖慢業務步伐,乃至影響商譽。其中,如開源軟體元件安全議題,便是金融業者一大痛點。

有鑑於此,精誠資訊結合全球頂尖的 DevOps 與 Security 工具,建立了符合台灣金融業的 DevSecOps 平台,達成程式交付速度快、品質穩定、安全,且符合國內外資安法規之規範。

優勢及功能

精誠資訊所提供的 DevOps 平台,加入程式碼、系統基礎架構安全及變更管理程序合規,架構成企業級的 DevSecOps 解決方案,並同步支援傳統應用程式、行動 APP 與微服務等各式應用系統或架構,服務內容包含:

DevSecOps_SYSTEX
  • DevSecOps 流程管理與協奏平台:
    整合 CI/CD 與變更管理,提供方便易用同時符合變更管理規範的 DevSecOps 的協奏平台。
  • 開源函式庫存取暨授權與安全管理:
    建立企業內部開源儲存庫,確保開發人員可以取得合乎企業管理規範的開源元件與容器映像檔。
  • 測試驅動開發管理:
    提供測試管理工具來管理測試案例,包含後續的人工與自動化測試,以支援開發單位實踐測試驅動開發方法論。
  • 版本控制:
    企業級版本控制系統,可以同時提供從簡單的版控,到複雜的多線平行開發版本控制策略,來滿足企業內大大小小開發團隊的版本控制作業需求,同時原生具備完善的存取軌跡。
  • 單元測試:
    支援程式碼規範檢測,自動產生單元測試案例,並讓如 junit 等單元測試工具自動執行等功能。
  • Auto Build:
    自動化執行 build 作業,記錄詳細的執行步驟與結果,並且自動連結程式碼與可執行碼的關係。
  • 功能測試:
    全自動化的功能測試,能最大限度提高測試涵蓋率,不再因為時間或人手不足而省略很多測試工作,讓每次的變更都能確保新舊功能都正確。
  • 效能測試:
    識別系統的乘載與反應是否符合當初的規劃,以免造成使用者抱怨與企業商譽損失。
  • API 測試:
    別於傳統 GUI 測試,針對一支支的服務執行 API 測試,驗證個別服務所提供的功能是否正確。
  • IAST:
    適用於成熟的 DevOps team,在執行品質測試的同時,同時執行安全測試,特點是速度快與精準度高。
  • 程式碼弱掃:
    透過靜態掃描程式碼的方式檢測程式碼是否有安全漏洞。
  • 開源軟體安全與授權合規掃描:
    盤點應用系統所使用開源元件並產生SBOM,識別安全、授權、品質、普及度等資訊。
  • 微服務容器管理平台與容器安全掃描:
    掃描容器管理平台配置、基礎容器映像與黃金映像有無安全漏洞與是否符合企業容器安全管理規範。
  • 自動化部署:
    提供輕量或無程式碼的流程圖設計部署流程,將整個部署作業自動化,同時提供完整軌跡。
  • 容器安全監控:
    提供對 k8s 的安全監控,包括漏洞防護、行為監控與運作軌跡審計。
  • 開源元件持續安全監控:
    持續監控新揭露的開源元件漏洞,主動提出會影響到那些既有應用系統。
  • 業務聯絡窗口

精誠集團
林苑琳
02-7720-1888 ext. 5288
Email:vickylin@systex.com