百度的DevSecOps实践

作为一家大型互联网公司,百度具备着所有大型公司和互联网公司的典型特点:业务体系繁多、业务数量庞大、业务迭代迅速。在百度内部,业务研发模式有别于传统的SDLC模型,更接近于DevOps模式,CI/CD工具集成和自动化程度高,产品迭代频次多、周期短。面对这样的业务研发场景,传统通过输出人力到业务团队,全流程跟进和解决业务研发生命周期的安全问题的方式已经不再适合。安全团队不能、也不可能将人力覆盖到所有业务。因此,安全团队势必需要构建通用性的产品安全基础设施,将其嵌入到产品研发流程中,然后配合重点业务的小范围安全评估,来实现高可用、高自动化的软件研发生命周期安全保障。在百度,我们将这种方式称之为轻量级