DevSecOps的六大支柱：集体责任

©2025云安全联盟大中华区版权所有DevSecOps工作组官方网址：https://cloudsecurityalliance.org/research/working-groups/devsecops© 2025 云安全联盟 —— 保留所有权利。案仅限个人、信息性及非商业用途；（b）不得以任何方式修改或改动草案；（c）不得重新分发草案；（d）不得移除商标、版权或其他声明。根据中华人民共和国著作权法合理使用条款，您可以引用草案部分内容，但须注明该部分内容源自云安全联盟。 (https://www.c-csa.cn) 2:（a）草 ©2025云安全联盟大中华区版权所有3 致谢中文版翻译专家翻译组成员：张坤谢绍志贺志生江泽鑫余晓光审校组成员：李岩 ©2025云安全联盟大中华区版权所有 4（以上排名不分先后） ©2025云安全联盟大中华区版权所有英文版翻译专家主要作者:JohnMartinStacySimpsonAshleighBuckinghamAltazValaniMelissaRiley贡献者:DennisBushGlennLeifheitSteveLipnerMathewLyonSamSehgalSouheilMoghnieXipingSongSeanHeide在此感谢以上专家及单位。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 5 行业合作伙伴云安全联盟（CSA）作为全球领先的组织，致力于定义和提升对最佳实践的认识，以帮助确保云计算环境的安全。CSA利用行业从业者、协会、政府及其企业和个人会员的主题专业知识，提供针对云安全的研究、教育、培训、认证、活动和产品。https://cloudsecurityalliance.org/软件保证卓越代码论坛（SAFECode）是一个非营利性组织，主要致力于通过改进有效的软件保证方法以提高人们对信息与通信技术产品和服务的信任度。SAFECode是一项全球性的、由行业主导的工作，旨在确定和推广最佳实践，以研发和提供更安全、可靠的软、硬件和服务。https://safecode.org/ ©2025云安全联盟大中华区版权所有6 ©2025云安全联盟大中华区版权所有目录致谢.........................................................................................................................................................4行业合作伙伴.........................................................................................................................................6简介..........................................................................................................................................................8概述..........................................................................................................................................................8高层支持与参与...................................................................................................................................10计划设计与实施...................................................................................................................................11将冠军带到挑战中..............................................................................................................................14通过安全意识和培训加强该计划.....................................................................................................15计划持续运维与成效评估..................................................................................................................17总结........................................................................................................................................................19附录一：健康问题与讨论要点.........................................................................................................21附录二：延伸阅读..............................................................................................................................22 7 简介云安全联盟（CloudSecurityAlliance）和SAFECode都坚定地致力于改善软件安全成果。2019年8月发布的论文《DevSecOps的六大支柱》提供了一套高层次的方法和成功实施的解决方案，作者通过这些方法和解决方案来快速构建软件，并尽量减少与安全相关的错误。这六大支柱是支柱1：集体责任支柱2：培训和流程整合支柱3：务实的实现支柱4：建立合规与发展的桥梁支柱5：自动化支柱6：测量、监控、报告和行动云安全联盟（CloudSecurityAlliance）和SAFECode将联合出版一套更为详细的出版物，介绍支撑上述每个支柱的成功解决方案。本报告是这些后续出版物中的第一份。概述DevSecOps将安全原则、流程和技术整合到持续的软件开发和IT运营文化中，从而影响其实践和工作流程。它将传统上相互隔离的开发、基础设施运营和信息安全领域汇聚在一起，通过一套共同的流程、程序和工具自动化，促进安全软件的开发。对DevSecOps兴趣的增加，部分是由于云计算优先的软件开发环境推动的，这种环境具有越来越短的产品生命周期、更迭代的开发方法以及开发 ©2025云安全联盟大中华区版权所有8 ©2025云安全联盟大中华区版权所有和IT运营的日益集成。传统的安全开发方法往往难以满足那些在云环境中工作的人快速采用的持续开发方法的需求。将安全开发实践集成到DevOps中需要一种更敏捷的安全方法，包括增加安全流程的自动化、更周到和务实的安全实施规划、更明确地列举风险和合规要求，以及更具操作性的监控和测量方法。此外，要使所有这些元素作为一个整体的DevSecOps方法协同工作，需要每个接触该流程的人都有集体安全责任意识。鉴于对DevSecOps的兴趣增加，云安全联盟（CSA）和软件保证卓越代码论坛（SAFECode）组成了一个DevSecOps工作组，以识别和分享开发和维持DevSecOps项目的最佳实践。作为第一步，工作组根据CSA的反射性安全框架中描述的六大支柱，确定并定义了将DevSecOps集成到组织中的六个关键关注领域。随着时间的推移，我们将重新审视并建立每个DevSecOps支柱的更详细的研究和指导，以维护特定行业的标准。本文是计划中的系列文章的一部分，将重点关注arguably其他所有支柱基础的领域——集体责任。培养集体安全责任意识不仅是将安全融入DevOps环境的重要组成部分，也是最具挑战性的任务之一。这需要培养组织在软件安全方面的思维方式、理念、习俗和行为的转变。在本报告中，我们将这种努力称为构建支持安全的文化。这种文化的一些显著特征包括以下特点：•实施安全设计的心态：在软件开发和运营的每个阶段都考虑和解决安全问题。安全不是事后的想法，也不是仅仅通过审计发现来处理的问题。•一种全员参与——从开发到IT运营再到高层管理——在确保软件安全方 9 ©2025云安全联盟大中华区版权所有面发挥作用，并作为组织应对当今复杂威胁环境的第一道防线的意识。•强调个人责任和信任。这种方法使自主性和敏捷性得以增强，提供必要的安全信息和工具，以便进行知情的分散式行动和决策。这与传统上限制性较强、手动密集且相互隔离的安全流程有所不同。•明确认识到安全并非与业务目标分开或截然不同，因此，积极的安全行为和激励措施之间存在明确且可识别的一致性，并且相信团队成员在其安全工作中会得到支持。尽管关于培养支持安全的文化的必要性已有大量著作，但它仍然是DevSecOps执行过程中最常被提及的挑战之一。文化通常被描述为组织的一个关键但无形的要素。不幸的是，这可能导致一种相当临时的文化变革方法。在软件安全方面，这通常表现为偶尔的黑客马拉松或漏洞清理活动，或者可能是关于软件安全实践价值的年度培训课程。这并不是说这些活动没有价值，而是说如果它们没有在团队目标的背景下呈现、没有得到加强，或者没有包括正确的受众，它们的影响是有限的。在周期开始时引入安全知识和培训可以帮助避免这些临时会议的需要。高层支持与参与用于创建和维持支持安全的文化的方法各不相同，但几乎所有成功的组织都共享的一个基本要素是支持和参与型的领导团队。管理层的支持不仅是确保对DevSecOps进行足够的时间和资源投入的必要条件，也是确保这些努力得到实地支持的关键。员工能够分辨出对安全计划的象征性支持或勉强支持与严肃承诺之间的区别，并且他们的这种认识不可避免地会反映在他们执行计划部分 10 的方式上。为了获得管理层对安全文化发展的支持，通常需要提出一个全面的、以结果为导向的计划，而不是一系列临时性的活动。设计一个计划级的方法至少需要制定一个与业务战略紧密相关的商业案例、一个详细的实施计划以及关键的项目指标。参与云安全联盟（CSA）和SAFECode等组织也有助于了解类似组织是如何处理安全文化发展的，这同样可以支持商业案例的提出。计划设计与实施建立安全文化应被视为一项重要且持续的计划级工作，而不仅仅是一系列临时性活动的简单集合。这需要对旨在培养集体安全责任感的新举措进行精心规划和周密部署。以下是那些希望采用计划管理方法的人需要考虑的一些常见问题。当一个企业设计一个支持安全文化的计划时，任务是将安全意识和集体责任感融入现有的组织文化中。这要求安全领导者在计划设计中考虑其组织和开发团队的现有文化和业务实践。一个有用的方法是研究过去需求或流程变更的例子，以尝试找出有效的沟通和社交化方法，并将其应用于安全开发工作。例如，安全领导者可能会考虑财务和会计团队如何与开发团队合作，以促进和庆祝其新发票和费用报告系统在全公司的推出，初步威胁模型如何有助于简化产品设计并降低成本和风险