©2023云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2DeveSecOps工作组的官方网址是： https://cloudsecurityalliance.org/research/working-groups/devsecops/ @2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a） 本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发； （d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下 合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 《DevSecOps-支柱4建立合规与发展的桥梁（DevSecOps-Pillar4BridgingComplianceand Development）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：李岩 翻译组： 车洵 何国锋 何伊圣 贺志生 黄鹏华 江楠 苏泰泉 余晓光 审校组： 何国锋 江楠 李岩 研究协调员： 卜宋博 感谢以下单位的支持与贡献： 中国电信股份有限公司研究院 华为技术有限公司 腾讯云计算（北京）有限责任公司 ©2023云安全联盟大中华区版权所有 5英文版本编写专家 主要作者： SouheilMoghnie TheodoreNiedzialkowski SamSehgal 贡献者： MichaelRoza CSA分析师： SeanHeide 特别感谢： AnkurGargi RajHanda ManuelIfland JohnMartin KamranSadique CharanjeetSingh AltazValani 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联 系邮箱[email protected]；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6 序言 DevSecOps是基于DevOps的安全敏捷化的一场变革，DevSecOps的出现也改变了安全 解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱，分别为集体责任、培 训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等 内容。 理想模式下DevSecOps世界中的合规意味着客户能够管理偏离安全基线的情况，并通过 实时数据的自我修复功能。DevSecOps在实现速度和安全优先的同时，实现具有更加高效、 更安全的持续交付。在DevOps名著《DevOpsHandBook》中就指出测量对DevOps实践合规 性的重要性。 本白皮书以合规与发展为核心，提出在DevSecOps模式中的合规性目标是提高应用程序 及环境的整体安全性，同时减少风险，以安全目标来验证持续交付。 DevSecOps也是CSA高级云安全专家课程（CSAACSE）的核心内容，DevSecOps是践行 共享安全责任的文化表现，实现满足企业对监管或行业合规标准的管理要求。尤其是很多企 业通过了ISO/IEC27001、CSAStar等认证。通过学习CSADevSecOps合规与发展，帮助企业 提升数字化合规的能力，实现基于风险的安全合规的新方案。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录 致谢............................................................................................................................................3 序言............................................................................................................................................6 前言............................................................................................................................................8 1简介.........................................................................................................................................9 1.1目标............................................................................................................................10 1.2读者群体....................................................................................................................10 2评估.......................................................................................................................................11 2.1与云服务提供商的共担责任...................................................................................11 2.2即时评估和持续评估................................................................................................13 3心态.......................................................................................................................................15 3.1使用价值流映射的合规性........................................................................................15 3.2合规目标转化为安全措施........................................................................................18 4.工具.......................................................................................................................................22 4.1拥抱即代码as-Code模型.........................................................................................22 4.2拥抱DevSecOps方法进行测试................................................................................24 4.3追踪开源风险............................................................................................................27 4.4安全护栏....................................................................................................................29 4.5模式和模板...............................................................................................................33 5.总结.......................................................................................................................................35 参考文献........................................................................