©2023云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2DevSecOps工作组的官方网址是: https://cloudsecurityalliance.org/research/working-groups/devsecops/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a) 本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下 合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 《DevSecOps-的六大支柱:自动化(TheSixPillarsofDevSecOps:Automation)》 由CSA工作组专家编写,CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组(排名不分先后): 组长:李岩 翻译组: 伏伟任 何国锋 何伊圣 贺志生 江楠 江泽鑫 陆琪 余晓光 审校组: 何国锋 江楠 李岩 研究协调员: 卜宋博 感谢以下单位的支持与贡献: 中国电信股份有限公司研究院 华为技术有限公司 腾讯云计算(北京)有限责任公司 ©2023云安全联盟大中华区版权所有 5英文版本编写专家 主要作者: SouheilMoghnie TheodoreNiedzialkowski SamSehgal 贡献者: MichaelRoza CSA分析师: SeanHeide 特别感谢: AnkurGargi RajHanda ManuelIfland JohnMartin KamranSadiqueCharanjeetSingh AltazValani 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给 予雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6 序言 DevSecOps是基于DevOps安全敏捷化的一场变革,DevSecOps的出现也改变 了安全解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱,分 别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、 度量、监控、报告和行动等内容。 DevSecOps的核心意味着要把安全管理思想全面地覆盖到整个框架中软件开 发生命周期中,实现基于安全性的自动化是关键的核心问题。在DevOps名著《持 续交付》中就指出应将几乎所有事情自动化, 本白皮书以自动化为核心,提出了CSADevSecOps软件交付流水线,将安全 传递给DevOps团队,权衡软件开发和安全需求,从而通过自动集成提高交付效 率。通过学习CSADevSecOps自动化的交付模式,可以帮助企业提升数字化业务 的交付能力,实现基于风险的安全自动化的新方案。 DevSecOps也是CSA高级云安全专家课程(CSAACSE)的核心内容,DevSecOps 是践行共享安全责任的协作表现,DevSecOps意味着从一开始就考虑应用程序和 基础设施安全,实现自动化安全质量门禁。只有基于DevOps整合IT的合作文化, 才能构建DevSecOps集成安全性、开发和运营实现自动化流水线,帮助企业实现 其数字化转型的业务目标。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录 致谢...............................................................................................................................4 序言...............................................................................................................................6 前言...............................................................................................................................9 介绍...............................................................................................................................9 0.1背景......................................................................................................................9 0.2目的....................................................................................................................10 0.3读者群体............................................................................................................11 1.适用范围................................................................................................................11 2.规范引用文件........................................................................................................11 3.术语和定义............................................................................................................11 4.CSADevSecOps软件交付流水线...........................................................................14 4.1总则....................................................................................................................14 4.2结构...................................................................................................................15 4.2.1总则............................................................................................................15 4.2.2阶段.............................................................................................................15 4.2.3触发器.........................................................................................................16 4.2.4活动.............................................................................................................17 4.3流水线的设置和维护........................................................................................17 5.风险优先的流水线..................................................................................................18 5.1概述....................................................................................................................18 5.2风险因素................................................................

pdf文档 CSA DevSecOps的六大支柱-自动化

文档预览
中文文档 28 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共28页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
CSA DevSecOps的六大支柱-自动化 第 1 页 CSA DevSecOps的六大支柱-自动化 第 2 页 CSA DevSecOps的六大支柱-自动化 第 3 页
下载文档到电脑,方便使用
本文档由 SC 于 2023-11-17 06:07:12上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。