©2023云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2DevSecOps工作组的官方网址是： https://cloudsecurityalliance.org/research/working-groups/devsecops/ @2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a） 本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发； （d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下 合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 《DevSecOps-的六大支柱：自动化（TheSixPillarsofDevSecOps:Automation）》 由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：李岩 翻译组： 伏伟任 何国锋 何伊圣 贺志生 江楠 江泽鑫 陆琪 余晓光 审校组： 何国锋 江楠 李岩 研究协调员： 卜宋博 感谢以下单位的支持与贡献： 中国电信股份有限公司研究院 华为技术有限公司 腾讯云计算（北京）有限责任公司 ©2023云安全联盟大中华区版权所有 5英文版本编写专家 主要作者： SouheilMoghnie TheodoreNiedzialkowski SamSehgal 贡献者： MichaelRoza CSA分析师： SeanHeide 特别感谢： AnkurGargi RajHanda ManuelIfland JohnMartin KamranSadiqueCharanjeetSingh AltazValani 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给 予雅正！联系邮箱[email protected]；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6 序言 DevSecOps是基于DevOps安全敏捷化的一场变革，DevSecOps的出现也改变 了安全解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱，分 别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、 度量、监控、报告和行动等内容。 DevSecOps的核心意味着要把安全管理思想全面地覆盖到整个框架中软件开 发生命周期中，实现基于安全性的自动化是关键的核心问题。在DevOps名著《持 续交付》中就指出应将几乎所有事情自动化， 本白皮书以自动化为核心，提出了CSADevSecOps软件交付流水线，将安全 传递给DevOps团队，权衡软件开发和安全需求，从而通过自动集成提高交付效 率。通过学习CSADevSecOps自动化的交付模式，可以帮助企业提升数字化业务 的交付能力，实现基于风险的安全自动化的新方案。 DevSecOps也是CSA高级云安全专家课程（CSAACSE）的核心内容，DevSecOps 是践行共享安全责任的协作表现，DevSecOps意味着从一开始就考虑应用程序和 基础设施安全，实现自动化安全质量门禁。只有基于DevOps整合IT的合作文化， 才能构建DevSecOps集成安全性、开发和运营实现自动化流水线，帮助企业实现 其数字化转型的业务目标。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录 致谢...............................................................................................................................4 序言...............................................................................................................................6 前言...............................................................................................................................9 介绍...............................................................................................................................9 0.1背景......................................................................................................................9 0.2目的....................................................................................................................10 0.3读者群体............................................................................................................11 1.适用范围................................................................................................................11 2.规范引用文件........................................................................................................11 3.术语和定义............................................................................................................11 4.CSADevSecOps软件交付流水线...........................................................................14 4.1总则....................................................................................................................14 4.2结构...................................................................................................................15 4.2.1总则............................................................................................................15 4.2.2阶段.............................................................................................................15 4.2.3触发器.........................................................................................................16 4.2.4活动.............................................................................................................17 4.3流水线的设置和维护........................................................................................17 5.风险优先的流水线..................................................................................................18 5.1概述....................................................................................................................18 5.2风险因素................................................................