DevSecOps-支柱4-建立合规与发展的桥梁

©2023云安全联盟大中华区版权所有1 ©2023云安全联盟大中华区版权所有2DeveSecOps工作组的官方网址是：https://cloudsecurityalliance.org/research/working-groups/devsecops/@2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有3 ©2023云安全联盟大中华区版权所有4致谢《DevSecOps-支柱4建立合规与发展的桥梁（DevSecOps-Pillar4BridgingComplianceandDevelopment）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：李岩翻译组：车洵何国锋何伊圣贺志生黄鹏华江楠苏泰泉余晓光审校组：何国锋江楠李岩研究协调员：卜宋博感谢以下单位的支持与贡献：中国电信股份有限公司研究院华为技术有限公司腾讯云计算（北京）有限责任公司 ©2023云安全联盟大中华区版权所有5英文版本编写专家主要作者：SouheilMoghnieTheodoreNiedzialkowskiSamSehgal贡献者：MichaelRozaCSA分析师：SeanHeide特别感谢：AnkurGargiRajHandaManuelIflandJohnMartinKamranSadiqueCharanjeetSinghAltazValani在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有6序言DevSecOps是基于DevOps的安全敏捷化的一场变革，DevSecOps的出现也改变了安全解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱，分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。理想模式下DevSecOps世界中的合规意味着客户能够管理偏离安全基线的情况，并通过实时数据的自我修复功能。DevSecOps在实现速度和安全优先的同时，实现具有更加高效、更安全的持续交付。在DevOps名著《DevOpsHandBook》中就指出测量对DevOps实践合规性的重要性。本白皮书以合规与发展为核心，提出在DevSecOps模式中的合规性目标是提高应用程序及环境的整体安全性，同时减少风险，以安全目标来验证持续交付。DevSecOps也是CSA高级云安全专家课程（CSAACSE）的核心内容，DevSecOps是践行共享安全责任的文化表现，实现满足企业对监管或行业合规标准的管理要求。尤其是很多企业通过了ISO/IEC27001、CSAStar等认证。通过学习CSADevSecOps合规与发展，帮助企业提升数字化合规的能力，实现基于风险的安全合规的新方案。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有7目录致谢............................................................................................................................................3序言............................................................................................................................................6前言............................................................................................................................................81简介.........................................................................................................................................91.1目标............................................................................................................................101.2读者群体....................................................................................................................102评估.......................................................................................................................................112.1与云服务提供商的共担责任...................................................................................112.2即时评估和持续评估................................................................................................133心态.......................................................................................................................................153.1使用价值流映射的合规性........................................................................................153.2合规目标转化为安全措施........................................................................................184.工具.......................................................................................................................................224.1拥抱即代码as-Code模型.........................................................................................224.2拥抱DevSecOps方法进行测试................................................................................244.3追踪开源风险............................................................................................................274.4安全护栏....................................................................................................................294.5模式和模板...............................................................................................................335.总结.......................................................................................................................................35参考文献..................................................................................................................................37词汇表......................................................................................................................................40缩略语......................................................................................................................................41 ©2023云安全联盟大中华区版权所有8前言云安全联盟和SAFECode都致力于提高软件安全成果。2019年8月发布的文章《DevSecOps的六大支柱》1提供了一组高阶方法以及由其作者成功实施过的解决方案，以快速构建软件并将与安全相关的错误降至最低。这六大支柱是：支柱1：集体责任（2020.02.20发布）2支柱2：培训和流程整合支柱3：实用的实施支柱4：建立合规与发展的桥梁（2022.02.03发布）支柱5：自动化（2022.07.06发布）3支柱6：度量、监控、报告和行动以支撑上述六大支柱的成功解决方案为主题，云安全联盟和SAFECode联合发布了一组更详细的出版物。本文是后续六份出版物中的第三篇。1CloudSecurityAlliance.(2019,August7).SixPillarsofDevSecOps.https://cloudsecurityalliance.org/artifacts/six-pillars-of-devsecops/2CloudSecurityAlliance.(2021a,February21).TheSixPillarsofDevSecOps:CollectiveResponsibility.https://cloudsecurityalliance.org/artifacts/devsecops-collective-responsibility/3CloudSecurityAlliance.(2020b,July6).TheSixPillarsofDevSecOps:Automation.https://cloudsecurityalliance.org/artifacts/devsecops-automation/ ©2023云安