《DevSecOps的六大支柱务实的实现》

2 ©2024 云安全联盟大中华区版权所有 @2024 云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 3 ©2024 云安全联盟大中华区版权所有 4 ©2024 云安全联盟大中华区版权所有 致谢 《DevSecOps 的六大支柱：务实的实现（The Six Pillars of DevSecOps:Pragmatic Implementation）》由 Roupe Sahans 编写，并由 CSA 大中华区专家组织翻译并审校。（以下排名不分先后）： 中文版翻译专家组 翻译组组长： 李岩 翻译组成员： 何伊圣 陈宏伟 殷铭 贺志生 吴嘉雯 高亚楠 伏伟任 江澎 江泽鑫 余晓光 谢绍志 屈伟 江楠 王岩 王贵宗 王彪 苏泰泉 欧建军 林艺芳 张坤 审校组成员： 李岩 江泽鑫 王彪 张坤 研究协调员：闭俊林、赵鹏 贡献单位： 北京天融信网络安全技术有限公司 中国电信股份有限公司研究院 华为技术有限公司 上海缔安科技股份有限公司 5 ©2024 云安全联盟大中华区版权所有 英文版本编写专家 主要作者： Roupe Sahans 贡献者： Charles Bideau Aristide Bouix Mauricio Cano Eric Gauthier Daniel Gora Michael Holden Brynna Nery Abdul Rahman Sattar Michael Roza Sreeni Sharma Damian Zawodnik 审校者： Chris Latham Fabiola Moyón Douglas Needham 联合主席： Kapil Bareja Chris Kirschke Sam Sehgal CSA 分析师： Josh Buker CSA 全球员工： Claire Lehnert Stephen Lumpe 在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给予改正！ 联系邮箱 research@c-csa.cn；云安全联盟 CSA 公众号。 6 ©2024 云安全联盟大中华区版权所有 序言 DevSecOps 随着 DevOps 的发展进入到了火爆的程度，DevSecOps 也为云原生流水线注入了新的安全活力。云原生技术以其高度的弹性、自动化特性，为 DevSecOps的实施提供了更为广阔的空间。 在云原生环境下，DevSecOps 能够充分利用云计算的优势，实现更加灵活、高效的安全管理和软件开发。云原生技术强化了DevSecOps的安全能力。在云原生环境中，安全策略可以被更好地集成到整个开发流程中，实现安全前置和持续集成。通过利用云原生平台的安全特性，如加密、访问控制、安全审计等，DevSecOps 能够更有效地保护应用和数据的安全。 通过学习 CSA 务实的 DevSecOps 实施，帮助企业提升黄金流水线的合规和安全能力，实现基于快速交付的安全合规的新方案。 DevSecOps 专 题也是 CSA 顶级云安全专家课程 (CSA ACSE) 中级课程，DevSecOps 是践行安全黄金流水线的实现，从一开始就考虑应用程序和基础设施安全。DevSecOps 专家认证（Certified DevSecOps Professional）是 ACSE 置换认证的前置课程之一。CSA DevSecOps 课程的价值主要体现在提升安全性、促进团队协作、加速软件交付、培养全栈人才和提高企业价值等方面。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 7 ©2024 云安全联盟大中华区版权所有 目 录 序言 ............................................................................................................................ 6 前言 ............................................................................................................................ 9 介绍 .......................................................................................................................... 10 目标 .......................................................................................................................... 11 读者 .......................................................................................................................... 11 1 概述 ................................................................................................................ 12 2 软件生命周期的安全转型 ................................................................................ 14 2.1 人是成功实现 DevSecOps 转型的关键推动者 ........................................... 15 2.2 文化将加快速度并提高绩效 ......................................................................... 19 2.3 技术和流程是 DevSecOps 实务的基础 ....................................................... 23 3 DevSecOps 阶段 ........................