DevSecOps-支柱4-建立合规与发展的桥梁
AI智能总结
DeveSecOps工作组的官方网址是: https://cloudsecurityalliance.org/research/working-groups/devsecops/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 致谢 《DevSecOps-支柱4建立合规与发展的桥梁(DevSecOps-Pillar4BridgingComplianceandDevelopment)》由CSA工作组专家编写,CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组(排名不分先后): 组长:李岩 翻译组: 车洵何国锋何伊圣贺志生黄鹏华江楠苏泰泉余晓光 审校组: 研究协调员: 卜宋博 感谢以下单位的支持与贡献: 中国电信股份有限公司研究院华为技术有限公司腾讯云计算(北京)有限责任公司 英文版本编写专家 主要作者: SouheilMoghnieTheodoreNiedzialkowskiSamSehgal 贡献者: MichaelRoza CSA分析师: SeanHeide 特别感谢: AnkurGargiRajHandaManuelIflandJohnMartinKamranSadiqueCharanjeetSinghAltazValani 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联 序言 DevSecOps是基于DevOps的安全敏捷化的一场变革,DevSecOps的出现也改变了安全解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱,分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。 理想模式下DevSecOps世界中的合规意味着客户能够管理偏离安全基线的情况,并通过实时数据的自我修复功能。DevSecOps在实现速度和安全优先的同时,实现具有更加高效、更安全的持续交付。在DevOps名著《DevOpsHandBook》中就指出测量对DevOps实践合规性的重要性。 本白皮书以合规与发展为核心,提出在DevSecOps模式中的合规性目标是提高应用程序及环境的整体安全性,同时减少风险,以安全目标来验证持续交付。 DevSecOps也是CSA高级云安全专家课程(CSAACSE)的核心内容,DevSecOps是践行共享安全责任的文化表现,实现满足企业对监管或行业合规标准的管理要求。尤其是很多企业通过了ISO/IEC27001、CSAStar等认证。通过学习CSADevSecOps合规与发展,帮助企业提升数字化合规的能力,实现基于风险的安全合规的新方案。 李雨航YaleLi 目录 致谢............................................................................................................................................3序言............................................................................................................................................6前言............................................................................................................................................81简介.........................................................................................................................................91.1目标............................................................................................................................101.2读者群体....................................................................................................................102评估.......................................................................................................................................112.1与云服务提供商的共担责任...................................................................................112.2即时评估和持续评估................................................................................................133心态.......................................................................................................................................153.1使用价值流映射的合规性........................................................................................153.2合规目标转化为安全措施........................................................................................184.工具.......................................................................................................................................224.1拥抱即代码as-Code模型.........................................................................................224.2拥抱DevSecOps方法进行测试................................................................................244.3追踪开源风险............................................................................................................274.4安全护栏....................................................................................................................294.5模式和模板...............................................................................................................335.总结.......................................................................................................................................35参考文献..................................................................................................................................37词汇表......................................................................................................................................40缩略语......................................................................................................................................41 前言 云安全联盟和SAFECode都致力于提高软件安全成果。2019年8月发布的文章《DevSecOps的六大支柱》1提供了一组高阶方法以及由其作者成功实施过的解决方案,以快速构建软件并将与安全相关的错误降至最低。这六大支柱是: 支柱1:集体责任(2020.02.20发布)2 支柱2:培训和流程整合 支柱3:实用的实施 支柱4:建立合规与发展的桥梁(2022.02.03发布) 支柱5:自动化(2022.07.06发布)3 支柱6:度量、监控、报告和行动 以支撑上述六大支柱的成功解决方案为主题,云安全联盟和SAFECode联合发布了一组更详细的出版物。本文是后续六份出版物中的第三篇。 1简介 鉴于软件开发范式和实践的快速发展,整体安全合规活动与软件开发过程的结合已成为一项挑战。合规团队已经习惯于依靠流程和控制到位来证明(安全性)。然而,大多数认同DevOps观点的工程师认为证明应在代码中,而不在流程或文档内。 DevSecOps实践旨在结合合规性与开发,需要安全团队和软件开发人员之间的协作(集体责任4)努力。DevSecOps模式中的合规性目标是提高应用程序或环境的整体安全性,同时减少验证系统达到安全目标及合规性的所需工作量。 本文探讨的方法允许DevSecOps团队将安全性和合规性要求转化融合到开发周期中,达到以下目标: 软件开发人员可操作性 客观可度量 实用性的降低风险 本文还探讨了安全和开发团队进行系统性协作的要求、方法和建议,分为三个部分,如图1所示。合规性和开发功能(特性)应考虑以下要素: 评估:一种划分和评估的方法,对运营影响最小思维方式:关于如何把合规性设计并实施到应用程序中的思想和实践转变工具:安全工具的不同实践,可以为合规性要求提供保证 本文和图1中对利益相关者的引用有两个角色,“合规”和“开发”: “合规”被确定为对监管或行业合规标准的管理,这些标准被下发到信息安全—以及法律、风险和审计—等团队,以形成塑造组织业务运营的要求和政策。 “开发”是对应用程序的设计、配置和
