• Ledge
  • 腾讯云-云开发
  • 携程
  • 小米
  • 美团
  • 大型银行转型
  • 招商银行
  • Atlassian
  • Netflix
  • HP
  • Etsy
  • DaoCloud
  • 中国银行
  • 农业银行
  • 华为
  • 百度
  • 腾讯
  • 博云
  • 阿里巴巴
  • 政采云
  • 大搜车
  • 微博
  • 优酷
  • Bilibili

腾讯

腾讯云

来源:《腾讯云首次披露自研业务上云历程(下)

云原生

云原生方法业务最佳实践
开发方法敏捷开发 、DevOpsTAPD / 工蜂 / 蓝盾 / TencentHub .....
团队协作式 DevOps 团队业务运维 & 研发团队
交付周期短且持续每周交付数百次
应用架构微服务,基于 API 的通信SF2/SPP/L5/CMLB
基础架构以容器为中心K8S(TKE)
部署可预测性可预测K8S(TKE)
弹性能力弹性调度K8S(TKE) + 业务画像
恢复能力自动化运维,快速恢复K8S(TKE)

经验

  • 第一,彻底拥抱云原生,用云来满足业务快速迭代,资源弹性伸缩的需求。
  • 第二,全面拥抱 DevOps,研发效率更高效。
  • 第三,内部的优秀工具上云,给云提供更好的服务。
  • 第四,整个开发团队心态更加开放、更加开源,主动与开源社区协同,贡献更多的功能特性。
  • 第五,公有云经受了 QQ 海量流量的锤炼,我们在上云过程中,经历很多的经验教训,边上云边解决问题,边上云边优化,将整个公有云的基础设施和服务锤炼成更加成熟。

流程和工具

流程

计划
需求
设计
开发
构建
测试
部署
搭建
监控
运营

工具

需求
敏捷研发 TAPD
企业云盘 Pan
开发
代码库 Code
流水线 Pipeline
版本仓库 Artifactory
开源镜像站 OSIS
代码检查 CodeCC
版本体验 Exp
编译加速 Turbo
工蜂 code
测试
测试系统 WeTest
质量红线 Gate
星海服务 xinghai
部署
容器服务 BCS
作业平台 Job
环境管理 Env
运营
监控中心 Monitor
日志检查 LogSearch
安全
漏洞扫描 Vs
APK 加固 Apk
管理工具
度量数据 Measure
权限中心 Perm
凭证管理 Ticket
研发商店 Store
开源协作 OSS

腾讯安全应急响应中心:DevSecOps

来源:《“安全需要每个工程师的参与”-DevSecOps 理念及思考

DevSecOps

DevSecOps 原则

  • 安全左移(ShiftSecurity Left)
  • 默认安全(Secureby Default)
  • 运行时安全(RuntimeSecurity)
  • 安全服务自动化/自助化(Securityas Code/Pipeline)
  • 利用基础设施即代码(IaC)
  • 利用持续集成和交付
  • 需要组织和文化建设

DevSecOps 实践

Plan(需求和设计)
Create(编码/编译)
Verify(测试/验证)
Preprod(预发布)
Release(发布)
Prevent(预防)
Detect(检测)
Respond(响应)
Predict(预测)
Adapt(适应)

DevSecOps 工具链

【Plan(需求和设计)】
公司安全规范/安全评估/威胁建模
安全培训
编码安全规范
【Create(编码/编译)】
安全开发库
安全相关的基础设施&框架机制
IDE中的代码质量工具
代码 review
安全加固的统一编译构建环境
安全加固的腾讯软件源
【Verify(测试/验证)】
【Preprod(预发布)】
SAST 静态代码扫描“啄木鸟”
内部开源代码自动安全检查
DAST “洞犀”/“金刚”
– 结合流量代理技术
APP加固
Fuzzing
混沌工程
【Release(发布)】
后台服务发布,安全加固的统一服务发布平台
APP发布,证书和软件签名/发布
镜像安全扫描
安全加固的腾讯tlinux内核
【Prevent(预防)】
安全可追溯的运维访问
零信任安全网关
【Detect(检测)】
网络流量安全分析
洞犀-上线后安全扫描
金刚-上线后安全扫描
洋葱(入侵检测系统)
RASP方案TRASP
腾讯安全应急响应中心(TSRC)漏洞奖励计划
腾讯蓝军渗透测试
【Respond(响应)】
安全事件应急响应小组
宙斯盾(DDoS防护)
门神(WAF)
【Predict(预测)】
安全服务中心
安全事件工单系统
威胁情报:TSRC安全情报平台,主动及时感知外部安全情报
Adapt(适应)
待实践