• 2024-07-10
  • 14:20 - 15:00

DevOps + Sec 是強力援手還是搗亂者

談到 DevSecOps 會想到一些什麼呢? 安全檢測、流程、稽核、開發和範圍(新舊系統)?

此議程將分享組織在導入DevSecOps 中採到的地雷,並分享實務導入經驗,如:遊戲橘子、上市櫃金融業 ... 等,以及我們從中學習到了什麼以及目前是怎麼權衡跟規劃。

例如:

  1. 導入自動化檢測工具結果問題爆量,軟體工程師直接放棄改程式。
  2. 公司沒有配套措施,結果所有系統因為資安導入系統無法順利更新上線。
  3. 老舊系統的安全規劃,像是潘朵拉的盒子,不敢納入檢測範圍。
  4. 資安人員沒有足夠的專業知識來協助開發人員
  5. 開發人員不具備資安通盤知識,覺得所有問題都是誤判

怎麼在不同的開發階段導入一些控制評估方法,來降低安全開發造成組織開發團隊的負擔與傷害。


聽眾收穫

  1. 理解DevSecOps的基本原則與實施價值。
  2. 學習如何利用自動化工具改進開發流程並提升安全性。
  3. 獲得克服DevSecOps實施過程中挑戰的策略與實踐經驗。
蔡龍佑(tygrus)

蔡龍佑(tygrus)

果核數位股份有限公司
副理

目前為果核數位軟體開發安全部 副理,負責規劃導入安全軟體開發流程與機制,目前持有CISSP、CSSLP、ISO 27001:2022、CEH、MCSD、SCWCD、RHCVA 等涵蓋 DevSecOps 的相關認證。

背景:開發經驗包含IoT應用、手機App、網站系統、雲端系統、影像/音訊識別與偵測及AI模型建立等,並且曾在四大會計師事務所擔任資安顧問期間,執行金融產業資安評估、檢測、事件調查等服務。目前專注在提升組織開發與設計安全軟體的相關議題以及相關的實踐技術。

LEVEL

中階

ROOM

大廳 F棟

FORM

現場演講

LANGUAGE

中文

TAGS

Culture & Agile

適合聽眾

DevOps 新手 (Newbie)
IT 人員 / 偏開發 (IT / DEV)
IT 人員 / 全都做 (IT / I have to do everything)

RESOURCE