【提升網絡保安】速度安全兼備 JFrog推動DevSecOps框架

數碼轉型已經深入生活的每一個部分，企業與客戶活在以雲端應用，與智能手機為中心的經濟體系內，對於應用與服務開發的速度與效益持續提升。結合開發人員（Development）與IT營運管理（Operations）的「DevOps」流程，近年已成為不少企業，藉此加快服務開發生命周期的新文化，最近更出現融入保安管理的「DevSecOps」框架。

DevOps或存在安全隱患

擁有多年推動DevOps項目經驗，早於2017年創立當地分公司的JFrog China總經理George Hurn-Maloney認為，市場目前正經歷轉型時刻，開發服務的速度提升，但當中帶來的網絡安全隱患值得留意。他指出就算是JFrog目前大部分屬於傳統銀行的客戶，也要經歷雲端架構與服務轉型的陣痛。

George指目前有90%軟件，以至市場上炙手可熱的Kubernetes（K8s）Containers標準與應用，其實都是建基於開源標準，雖然這是時代的進步，但也有可能造成網絡安全問題。而JFrog China正與包括羅兵咸永道（PwC）與香港代理群柏數碼科技（B & Data Technology）等多個機構合作，除了融入開源社群，推動DevSecOps文化之外，也協助企業客戶檢查當中的源碼，是否存在被入侵與其他網絡風險問題，融入更高規格的安全掃描標準。當中B & Data總經理Billy表示，該公司於去年底開始與JFrog China合作於本地推出DevSecOps相關服務，而目前JFrog推出包括插入軟件（Plugin）的選項，讓開發者能在初期發現潛在風險或問題。

引進新保安營運思維

由香港金融管理局發出的「網路防衛評估架構2.0」（C-RAF 2.0）保安指引中，對於DevOps相關保安問題亦有著墨。香港目前的DevOps水平也隨著市場趨勢有所提高，而相對中國與其他地方的虛擬銀行相對盛行的地方，現行雲端運算架構除了網絡安全，如阻斷服務攻擊（DDoS）之外，未來開發流程也要提升保安營運思維，相信DevSecOps的重要性會持續提高。

自動化控制提升保安

銀行、證券與保險業的相關企業，也宜對DevSecOps發展多加留意，羅兵咸永道（PwC）網絡安全及私隱服務部Darklab經理Jeff指出，由於開發流程的生命周期已大為縮短，新服務的推出時間也由數月縮短至數周，甚至數日，在更短的生命周期下，人手已經難以跟進問題所在。

以往銀行業相對依賴第三方作安全問題檢查，但往往發現保安問題會重覆出現同一犯錯，隨著版本更新安全問題往往重覆出現。目前企業在持續開發與持續部署流程(Continuous Integration /Continuous Deployment pipeline)之外，也需要融入相應的持續安全(Continuous Security)，加入不同的自動安全控制與自動化管理，才可更快推出安全與效率並重的服務。

現在與未來的市場很難避免開源相關的開發項目，Jeff表示傳統與新興企業都分別有不同程度的DevSecOps需求，在自動化與人手管理的分配比例都會有不同。他強調傳統行業在轉型之上，需要不同的人才、流程及技術水平需要配合。

網上研討會

為方便企業進一步了解DevSecOps解決方案，JFrog China將於5月20日星期四舉辦網上研討會，由專家講解如何評估和選擇正確的工具，協助企業客戶達成DevSecOps開發流程，贏在起跑線。

企業客戶成功報名出席，將有機會得到精美禮品，名額有限，請即報名。

主題：JFrog X PwC : Tips to Evaluate and Choose the Right DevSecOps Solutions
日期：2021年5月20日 (星期四)
時間：11:00am – 12:00pm
語言：English
網上報名：https://us02web.zoom.us/webinar/register/WN_8nlRdaaQRTGA5qy-Pu3D6g
查詢：JFrog China 代理商 B & Data Technology Co., Ltd
電話：2114 1100
網址：www.bdata.com.hk

(Article sponsored by JFrog China & B&Data Technology Co., Ltd.)