DevSecOps的六大支柱：务实的实现

@2024云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 《DevSecOps的六大支柱：务实的实现（The Six Pillars of DevSecOps:PragmaticImplementation）》由Roupe Sahans编写，并由CSA大中华区专家组织翻译并审校。（以下排名不分先后）： 中文版翻译专家组 翻译组组长： 李岩 翻译组成员： 何伊圣陈宏伟殷铭贺志生吴嘉雯高亚楠伏伟任江澎江泽鑫余晓光谢绍志屈伟江楠王岩王贵宗王彪苏泰泉欧建军林艺芳张坤 审校组成员： 李岩江泽鑫王彪张坤 研究协调员：闭俊林、赵鹏 贡献单位： 北京天融信网络安全技术有限公司中国电信股份有限公司研究院华为技术有限公司上海缔安科技股份有限公司 英文版本编写专家 主要作者： Roupe Sahans 贡献者： Charles BideauAristide BouixMauricio CanoEric Gauthier Daniel GoraMichael HoldenBrynna NeryAbdul Rahman SattarMichaelRozaSreeniSharmaDamian Zawodnik 审校者： Chris LathamFabiola MoyónDouglas Needham 联合主席： Kapil BarejaChris KirschkeSam Sehgal CSA全球员工： Claire LehnertStephen Lumpe 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给予改正！ 联系邮箱research@c-csa.cn；云安全联盟CSA公众号。 序言 DevSecOps随着DevOps的发展进入到了火爆的程度，DevSecOps也为云原生流水线注入了新的安全活力。云原生技术以其高度的弹性、自动化特性，为DevSecOps的实施提供了更为广阔的空间。 在云原生环境下，DevSecOps能够充分利用云计算的优势，实现更加灵活、高效的安全管理和软件开发。云原生技术强化了DevSecOps的安全能力。在云原生环境中，安全策略可以被更好地集成到整个开发流程中，实现安全前置和持续集成。通过利用云原生平台的安全特性，如加密、访问控制、安全审计等，DevSecOps能够更有效地保护应用和数据的安全。 通过学习CSA务实的DevSecOps实施，帮助企业提升黄金流水线的合规和安全能力，实现基于快速交付的安全合规的新方案。 DevSecOps专 题也 是CSA顶 级 云 安 全 专 家 课 程(CSAACSE)中 级 课 程 ，DevSecOps是践行安全黄金流水线的实现，从一开始就考虑应用程序和基础设施安全。DevSecOps专家认证（CertifiedDevSecOpsProfessional）是ACSE置换认证的前置课程之一。CSADevSecOps课程的价值主要体现在提升安全性、促进团队协作、加速软件交付、培养全栈人才和提高企业价值等方面。 李雨航Yale Li CSA大中华区主席兼研究院院长 目录 2.1人是成功实现DevSecOps转型的关键推动者...........................................152.2文化将加快速度并提高绩效.........................................................................192.3技术和流程是DevSecOps实务的基础.......................................................23 3DevSecOps阶段..........................................................................................23 3.1设计与架构..................................................................................................233.2开发（编码）...............................................................................................233.3集成和测试..................................................................................................243.4交付和部署..................................................................................................243.5运行时防御和监测.......................................................................................25 4设计和架构.....................................................................................................33 4.1威胁建模......................................................................................................334.2安全用户故事...............................................................................................354.3价值流安全映射...........................................................................................364.4架构原则和制品...........................................................................................394.5风险管理（左移）.......................................................................................43 5开发（编码）..................................................................................................45 5.1对开发人员培训...........................................................................................455.2安全钩子（Hook）......................................................................................475.3代码检查（linting）.....................................................................................485.4软件组成分析...............................................................................................505.5静态应用程序安全测试................................................................................515.6容器强化......................................................................................................555.7基础设施即代码分析....................................................................................585.8同行评审......................................................................................................64 6.1动态应用程序安全测试........................................................................65 6.2交互式应用程序安全测试.............................................................................676.3API测试.....................................................................................................696.4模糊测试......................................................................................................716.5渗透测试......................................................................................................726.5.1渗透测试范围......................................................................................746.5.2渗透测试的步骤和纵深防御...................................................................756.5.3渗透测试的益处、框架、指导和战术手册.............................................776.5.4在DevSecOps环境中需要考虑的特殊用例..........................................786.5.5渗透测试工具........................................................................................796.5.6容器测试...............................................................................................80