DevSecOps的六大支柱：集体责任.pdf

目录

致谢4

行业合作伙伴6

简介8

概述8

高层支持与参与10

计划设计与实施11

将冠军带到挑战中14

通过安全意识和培训加强该计划15

计划持续运维与成效评估17

总结19

附录一：健康问题与讨论要点21

附录二：延伸阅读22

©2025云安全联盟大中华区版权所有

7

简介

云安全联盟（CloudSecurityAlliance）和SAFECode都坚定地致力于改

善软件安全成果。2019年8月发布的论文《DevSecOps的六大支柱》提供了

一套高层次的方法和成功实施的解决方案，作者通过这些方法和解决方案来快

速构建软件，并尽量减少与安全相关的错误。这六大支柱是

支柱1：集体责任

支柱2：培训和流程整合

支柱3：务实的实现

支柱4：建立合规与发展的桥梁

支柱5：自动化

支柱6：测量、监控、报告和行动

云安全联盟（CloudSecurityAlliance）和SAFECode将联合出版一套更

为详细的出版物，介绍支撑上述每个支柱的成功解决方案。本报告是这些后续

出版物中的第一份。

概述

DevSecOps将安全原则、流程和技术整合到持续的软件开发和IT运

营文化中，从而影响其实践和工作流程。它将传统上相互隔离的开发、基础

设施运营和信息安全领域汇聚在一起，通过一套共同的流程、程序和工具自

动化，促进安全软件的开发。

对DevSecOps兴趣的增加，部分是由于云计算优先的软件开发环境推

动的，这种环境具有越来越短的产品生命周期、更迭代的开发方法以及开发

©2025云安全联盟大中华区版权所有

8

和IT运营的日益集成。传统的安全开发方法往往难以满足那些在云环境中

工作的人快速采用的持续开发方法的需求。将安全开发实践集成到

DevOps中需要一种更敏捷的安全方法，包括增加安全流程的自动化、更

周到和务实的安全实施规划、更明确地列举风险和合规要求，以及更具操作

性的监控和测量方法。此外，要使所有这些元素作为一个整体的

DevSecOps方法协同工作，需要每个接触该流程的人都有集体安全责任意

识。

鉴于对DevSecOps的兴趣增加，云安全联盟（CSA）和软件保证卓越

代码论坛（SAFECode）组成了一个DevSecOps工作组，以识别和分享开

发和维持DevSecOps项目的最佳实践。作为第一步，工作组根据CSA的

反射性安全框架中描述的六大支柱，确定并定义了将DevSecOps集成到组

织中的六个关键关注领域。随着时间的推移，我们将重新审视并建立每个

DevSecOps支柱的更详细的研究和指导，以维护特定行业的标准。本文是

计划中的系列文章的一部分，将重点关注arguably其他所有支柱基础的领

域——集体责任。

培养集体安全责任意识不仅是将安全融入DevOps环境的重要组成部分，

也是最具挑战性的任务之一。这需要培养组织在软件安全方面的思维方式、理

念、习俗和行为的转变。在本报告中，我们将这种努力称为构建支持安全的文

化。这种文化的一些显著特征包括以下特点：

•实施安全设计的心态：在软件开发和运营的每个阶段都考虑和解决安全

问题。安全不是事后的想法，也不是仅仅通过审计发现来处理的问题。

•一种全员参与——从开发到IT运营再到高层管理——在确保软件安全方

©2025云安全联盟大中华区版权所有