CSA DevSecOps的六大支柱-自动化

©2023云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2DevSecOps工作组的官方网址是： https://cloudsecurityalliance.org/research/working-groups/devsecops/ @2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢《DevSecOps-的六大支柱：自动化（TheSixPillarsofDevSecOps:Automation）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：李岩翻译组：伏伟任何国锋何伊圣贺志生江楠江泽鑫陆琪余晓光审校组：何国锋江楠李岩研究协调员：卜宋博感谢以下单位的支持与贡献：中国电信股份有限公司研究院华为技术有限公司腾讯云计算（北京）有限责任公司 ©2023云安全联盟大中华区版权所有 5英文版本编写专家主要作者： SouheilMoghnie TheodoreNiedzialkowski SamSehgal 贡献者： MichaelRoza CSA分析师： SeanHeide 特别感谢： AnkurGargi RajHanda ManuelIfland JohnMartin KamranSadiqueCharanjeetSingh AltazValani 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6 序言 DevSecOps是基于DevOps安全敏捷化的一场变革，DevSecOps的出现也改变了安全解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱，分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。 DevSecOps的核心意味着要把安全管理思想全面地覆盖到整个框架中软件开发生命周期中，实现基于安全性的自动化是关键的核心问题。在DevOps名著《持续交付》中就指出应将几乎所有事情自动化，本白皮书以自动化为核心，提出了CSADevSecOps软件交付流水线，将安全传递给DevOps团队，权衡软件开发和安全需求，从而通过自动集成提高交付效率。通过学习CSADevSecOps自动化的交付模式，可以帮助企业提升数字化业务的交付能力，实现基于风险的安全自动化的新方案。 DevSecOps也是CSA高级云安全专家课程（CSAACSE）的核心内容，DevSecOps 是践行共享安全责任的协作表现，DevSecOps意味着从一开始就考虑应用程序和基础设施安全，实现自动化安全质量门禁。只有基于DevOps整合IT的合作文化，才能构建DevSecOps集成安全性、开发和运营实现自动化流水线，帮助企业实现其数字化转型的业务目标。李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录致谢...............................................................................................................................4 序言...............................................................................................................................6 前言...............................................................................................................................9 介绍...............................................................................................................................9 0.1背景......................................................................................................................9 0.2目的....................................................................................................................10 0.3读者群体............................................................................................................11 1.适用范围................................................................................................................11 2.规范引用文件........................................................................................................11 3.术语和定义............................................................................................................11 4.CSADevSecOps软件交付流水线...........................................................................14 4.1总则....................................................................................................................14 4.2结构...................................................................................................................15 4.2.1总则............................................................................................................15 4.2.2阶段.............................................................................................................15 4.2.3触发器.........................................................................................................16 4.2.4活动.............................................................................................................17 4.3流水线的设置和维护........................................................................................17 5.风险优先的流水线..................................................................................................18 5.1概述....................................................................................................................18 5.2风险因素................................................................