2025年DevSecOps的六大支柱协作与集成报告.pdf

©2025云安全联盟大中华区版权所有1

DevSecOps工作组的永久官方网址

/research/working-groups/devsecops/

@2025云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打

印，或者访问云安全联盟大中华区官网（）。须遵守以下：（a）本文只

可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.

版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文

内容，使用时请注明引用于云安全联盟大中华区。

©2025云安全联盟大中华区版权所有2

©2025云安全联盟大中华区版权所有3

致谢

《DevSecOps的六大支柱：协作与集成（TheSixPillarsofDevSecOps:Collaboration

andIntegration）》由AbdulRahmanSattar编写，并由CSA大中华区专家组织翻译

并审校。（以下排名不分先后）：

中文版翻译专家组

组长：

李岩

翻译组成员：

何伊圣欧建军王彪王贵宗伏伟任谢绍志

审校组成员：

苏泰泉李岩江楠罗智杰卜宋博

研究协调员：

闭俊林易利杰

贡献单位：

北京天融信网络安全技术有限公司

©2025云安全联盟大中华区版权所有4

英文版本编写专家

主要作者：

AbdulRahmanSattar

贡献者：

AristideBouix

AmitButail

IvanDeLosSantos

DarienHirotsu

NitinKulkarni

AlexandriaLeary

MichaelRoza

审稿人：

KapilBareja

RamReddy

UdithWickramasuriya

CSA分析师：

JoshBuker

©2025云安全联盟大中华区版权所有5

目录

致谢4

序言8

前言9

引言10

目标10

受众11

1．成功的DevSecOps协作和集成的指导原则11

1.1领导层主动和有效的沟通11

1.2没有孤岛12

1.3自动化12

1.4以人为本的方法12

1.5组织背景的理解13

1.6明确的所有权和责任13

1.7就如何衡量进展达成一致13

1.8将失败视为机遇13

2．基于角色的安全培训项目的原因和计划14

2.1安全培训计划的实施16

2.2如何获得安全培训计划的认可和支持17

2.3如何衡量安全培训计划的成功17

3．交付流水线中的协作和集成18

3.1安全设计和架构阶段19

3.2安全编码阶段20

3.3持续构建、集成和测试20

3.4持续交付和部署20

3.5运行时防御和监控21

4．新收购项目与DevSecOps交付流水线的集成过程21

4.1收购后60天内21

4.2收购后180天内23

4.3至少每年一次23

5．DevSecOps案例研究24

5.1拥有传统组件的大型老牌公司24

5.2风险偏好较高，规模快速发展的企业25

©2025云安全联盟大中华区版权所有6

5.3成长为规模化企业的私人高成长型创业公司25

5.4初创银行拥抱DevSecOps26

6．DevSecOps和其他技术实践融合的实践27

6.1De