©2023云安全联盟大中华区版权所有 1
©2023云安全联盟大中华区版权所有 2DevSecOps工作组的官方网址是:
https://cloudsecurityalliance.org/research/working-groups/devsecops/
@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查
看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)
本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;
(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下
合理使用本文内容,使用时请注明引用于云安全联盟大中华区。
©2023云安全联盟大中华区版权所有 3
©2023云安全联盟大中华区版权所有 4致谢
《DevSecOps-的六大支柱:自动化(TheSixPillarsofDevSecOps:Automation)》
由CSA工作组专家编写,CSA大中华区秘书处组织翻译并审校。
中文版翻译专家组(排名不分先后):
组长:李岩
翻译组:
伏伟任 何国锋 何伊圣 贺志生 江楠 江泽鑫
陆琪 余晓光
审校组:
何国锋 江楠 李岩
研究协调员:
卜宋博
感谢以下单位的支持与贡献:
中国电信股份有限公司研究院 华为技术有限公司
腾讯云计算(北京)有限责任公司
©2023云安全联盟大中华区版权所有 5英文版本编写专家
主要作者:
SouheilMoghnie TheodoreNiedzialkowski SamSehgal
贡献者:
MichaelRoza
CSA分析师:
SeanHeide
特别感谢:
AnkurGargi RajHanda ManuelIfland JohnMartin
KamranSadiqueCharanjeetSingh AltazValani
在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给
予雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。
©2023云安全联盟大中华区版权所有 6
序言
DevSecOps是基于DevOps安全敏捷化的一场变革,DevSecOps的出现也改变
了安全解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱,分
别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、
度量、监控、报告和行动等内容。
DevSecOps的核心意味着要把安全管理思想全面地覆盖到整个框架中软件开
发生命周期中,实现基于安全性的自动化是关键的核心问题。在DevOps名著《持
续交付》中就指出应将几乎所有事情自动化,
本白皮书以自动化为核心,提出了CSADevSecOps软件交付流水线,将安全
传递给DevOps团队,权衡软件开发和安全需求,从而通过自动集成提高交付效
率。通过学习CSADevSecOps自动化的交付模式,可以帮助企业提升数字化业务
的交付能力,实现基于风险的安全自动化的新方案。
DevSecOps也是CSA高级云安全专家课程(CSAACSE)的核心内容,DevSecOps
是践行共享安全责任的协作表现,DevSecOps意味着从一开始就考虑应用程序和
基础设施安全,实现自动化安全质量门禁。只有基于DevOps整合IT的合作文化,
才能构建DevSecOps集成安全性、开发和运营实现自动化流水线,帮助企业实现
其数字化转型的业务目标。
李雨航YaleLi
CSA大中华区主席兼研究院院长
©2023云安全联盟大中华区版权所有 7目录
致谢...............................................................................................................................4
序言...............................................................................................................................6
前言...............................................................................................................................9
介绍...............................................................................................................................9
0.1背景......................................................................................................................9
0.2目的....................................................................................................................10
0.3读者群体............................................................................................................11
1.适用范围................................................................................................................11
2.规范引用文件........................................................................................................11
3.术语和定义............................................................................................................11
4.CSADevSecOps软件交付流水线...........................................................................14
4.1总则....................................................................................................................14
4.2结构...................................................................................................................15
4.2.1总则............................................................................................................15
4.2.2阶段.............................................................................................................15
4.2.3触发器.........................................................................................................16
4.2.4活动.............................................................................................................17
4.3流水线的设置和维护........................................................................................17
5.风险优先的流水线..................................................................................................18
5.1概述....................................................................................................................18
5.2风险因素................................................................
CSA DevSecOps的六大支柱-自动化
文档预览
中文文档
28 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共28页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2023-11-17 06:07:12上传分享