DevSecOps六大支柱:
集体责任发展安全支持型文化的
关键考虑因素
?2025云安全联盟大中华区版权所有
目录
致谢4
行业合作伙伴6
简介8
概述8
高层支持与参与10
计划设计与实施11
将冠军带到挑战中14
通过安全意识和培训加强该计划15
计划持续运维与成效评估17
总结19
附录一:健康问题与讨论要点21
附录二:延伸阅读22
7
简介
云安全联盟(CloudSecurityAlliance)和SAFECode都坚定地致力于改
善软件安全成果。2019年8月发布的论文《DevSecOps的六大支柱》提供了
一套高层次的方法和成功实施的解决方案,作者通过这些方法和解决方案来快
速构建软件,并尽量减少与安全相关的错误。这六大支柱是
支柱1:集体责任
支柱2:培训和流程整合
支柱3:务实的实现
支柱4:建立合规与发展的桥梁
支柱5:自动化
支柱6:测量、监控、报告和行动
云安全联盟(CloudSecurityAlliance)和SAFECode将联合出版一套更
为详细的出版物,介绍支撑上述每个支柱的成功解决方案。本报告是这些后续
出版物中的第一份。
概述
DevSecOps将安全原则、流程和技术整合到持续的软件开发和IT运
营文化中,从而影响其实践和工作流程。它将传统上相互隔离的开发、基础
设施运营和信息安全领域汇聚在一起,通过一套共同的流程、程序和工具自
动化,促进安全软件的开发。
对DevSecOps兴趣的增加,部分是由于云计算优先的软件开发环境推
动的,这种环境具有越来越短的产品生命周期、更迭代的开发方法以及开发
8
和IT运营的日益集成。传统的安全开发方法往往难以满足那些在云环境中
工作的人快速采用的持续开发方法的需求。将安全开发实践集成到
DevOps中需要一种更敏捷的安全方法,包括增加安全流程的自动化、更
周到和务实的安全实施规划、更明确地列举风险和合规要求,以及更具操作
性的监控和测量方法。此外,要使所有这些元素作为一个整体的
DevSecOps方法协同工作,需要每个接触该流程的人都有集体安全责任意
识。
鉴于对DevSecOps的兴趣增加,云安全联盟(CSA)和软件保证卓越
代码论坛(SAFECode)组成了一个DevSecOps工作组,以识别和分享开
发和维持DevSecOps项目的最佳实践。作为第一步,工作组根据CSA的
反射性安全框架中描述的六大支柱,确定并定义了将DevSecOps集成到组
织中的六个关键关注领域。随着时间的推移,我们将重新审视并建立每个
DevSecOps支柱的更详细的研究和指导,以维护特定行业的标准。本文是
计划中的系列文章的一部分,将重点关注arguably其他所有支柱基础的领
域——集体责任。
培养集体安全责任意识不仅是将安全融入DevOps环境的重要组成部分,
也是最具挑战性的任务之一。这需要培养组织在软件安全方面的思维方式、理
念、习俗和行为的转变。在本报告中,我们将这种努力称为构建支持安全的文
化。这种文化的一些显著特征包括以下特点:
?实施安全设计的心态:在软件开发和运营的每个阶段都考虑和解决安全
问题。安全不是事后的想法,也不是仅仅通过审计发现来处理的问题。
?一种全员参与——从开发到IT运营再到高层管理——在确保软件安全方
9
面发挥作用,并作为组织应对当今复杂威胁环境的第一道防线