DevSecOps 的六大支柱协作与集成

DevSecOps工作组的永久官方网址 https://cloudsecurityalliance.org/research/working-groups/devsecops/ @2025云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 《DevSecOps的六大支柱：协作与集成（TheSixPillarsofDevSecOps:CollaborationandIntegration）》由AbdulRahmanSattar编写，并由CSA大中华区专家组织翻译并审校。（以下排名不分先后）： 中文版翻译专家组 组长： 李岩 翻译组成员： 何伊圣欧建军王彪王贵宗伏伟任谢绍志 审校组成员： 苏泰泉李岩江楠罗智杰卜宋博 研究协调员： 闭俊林易利杰 贡献单位： 北京天融信网络安全技术有限公司 英文版本编写专家 主要作者：AbdulRahmanSattar 贡献者： AristideBouixAmitButailIvanDeLosSantosDarienHirotsuNitinKulkarniAlexandriaLearyMichaelRoza 审稿人： KapilBarejaRamReddyUdithWickramasuriyaCSA分析师：JoshBuker 目录 致谢.....................................................................................................................................................4序言.....................................................................................................................................................8前言.....................................................................................................................................................9引言...................................................................................................................................................10目标...................................................................................................................................................10受众...................................................................................................................................................11 1.1领导层主动和有效的沟通...............................................111.2没有孤岛.............................................................121.3自动化...............................................................121.4以人为本的方法.......................................................121.5组织背景的理解.......................................................131.6明确的所有权和责任...................................................131.7就如何衡量进展达成一致...............................................131.8将失败视为机遇.......................................................13 2．基于角色的安全培训项目的原因和计划.......................................14 2.1安全培训计划的实施...................................................162.2如何获得安全培训计划的认可和支持.....................................172.3如何衡量安全培训计划的成功...........................................17 3．交付流水线中的协作和集成.................................................18 3.1安全设计和架构阶段...................................................193.2安全编码阶段.........................................................203.3持续构建、集成和测试.................................................203.4持续交付和部署.......................................................203.5运行时防御和监控.....................................................21 4.1收购后60天内........................................................214.2收购后180天内.......................................................234.3至少每年一次.........................................................23 5.3成长为规模化企业的私人高成长型创业公司...............................255.4初创银行拥抱DevSecOps...............................................266．DevSecOps和其他技术实践融合的实践........................................276.1 DevSecOps和零信任...................................................286.1.1 DevSecOps概述...................................................286.1.2零信任概述.......................................................286.1.3安全设计和架构...................................................286.1.4安全编码.........................................................296.1.5持续构建，集成及测试.............................................296.1.6持续交付和部署...................................................306.1.7运行时防御和监视.................................................306.1.8 DevSecOps和零信任总结...........................................316.2 MLSecOps and AIOps..................................................316.3融合DevSecOps和AIOps...............................................326.4辨别MLSecOps的差异因素..............................................337．参考.....................................................................35 序言 《协作与集成》报告充分体现了组织中的每个部门都同样负责在软件开发周期的每个阶段集成安全性。DevSecOps是一种文化取向、自动化方法和平台设计方法，将安全性作为整个IT生命周期的共同责任。 DevSecOps是基于DevOps的安全敏捷化的一场变革，其中DevOps名著《加速：企业数字化转型的24项核心能力》中第22个能力要求即是协作能力，协作是支持和促进团队之间的合作，反映了传统上孤立的团队在开发，运营和信息安全方面的互动程度。其中第3个能力要求即是集成能力,集成能力是实现持续交付的第一步。这是一种开发实践。 本报告以在DevOps中引入安全性为起点，由浅入深地介绍基于DevOps的安全开发生命周期，需要在每个阶段充分地理解软件生命周期各阶段的安全都需要人员、文化、流程和技术的组合推进。安全的本质是一项团队运动，需要各种组织角色之间的全面协作，包括业务领导者、领域专家、安全人员、架构师、软件开发人员、渗透测试人员、SOC分析师和产品/项目经理。 DevSecOps也是CSA顶级云安全专家课程(CSAACSE)的核心内容，DevSecOps是践行共享安全责任的协作表现，DevSecOps意味着从一开始就考虑应用程序和基础设施的安全性。需要在每个阶段充分地理解软件生命周期各阶段的安全都需要人员、文化、流程和技术的组合推进。 李雨航Yale LiCSA大中华区主席兼研究院院长 前言 云安全联盟坚定致力于提高软件安全成果。作者于2019年8月发表的论文《DevSecOps的六大支柱》提供了一套高级方法和成功实施于快速构建软件并最大限度地减少与安全相关的漏洞的解决方案。这六大支柱是： 支柱1：集体责任（2020年2月20日发布） 支柱2：协作与集成（2024年2月21日发布） 支柱3：务实的实现（2022年12月14日发布） 支柱4：建立合规与发展的桥梁（2022年2月8日发布） 支柱5：自动化（2020年7月6日发布） 支柱6：测量、监控、报告和行动（2024年5月发布） 为支持六大支柱，云安全联盟和SAFECode1联合发布了一系