基于DevSecOps的软件供应链安全治理技术简析.pdfVIP

基于DevSecOps的软件供应链安全

治理技术简析

传统研发运营安全侧重于在测试及运营阶段，进

0前言

行安全威胁排除，漏洞修复，更多的是被动式安全防

在数字化转型背景下，作为云原生技术不可或缺御。面对云原生时代业务需要频繁调整、上线，亟需

的持续交付、DevOps、微服务和容器技术正在被广泛进行安全左移，在需求、研发阶段便进行安全介入，从

使用，面对软件交付周期所带来的压力，DevSecOps理源头处降低安全风险，实现主动式安全防御，从而构

念被提出，DevSecOps是一种融合了开发、安全及运营建覆盖软件应用服务全生命周期的安全体系。本文

理念的全新的安全管理模式，其核心理念是：业务应基于DevSecOps理念，在明确业务系统安全需求的前

用生命周期的每个环节都需要为安全负责，安全是整提下，制定贯穿软件系统全生命周期的实践方案，通

个IT团队（包括开发、测试、运维及安全团队）所有成过在软件开发的不同阶段将安全工具或安全活动进

员的责任，并且需要贯穿到从研发至运营的全过程。行整合，将各个信息安全孤岛进行串联，协同作战，实

——————————现安全设计、安全编码、安全测试和安全运营的统一

收稿日期：2022-07-29融合，在提升软件系统研发过程标准化与自动化的同

时，降低对效率的影响，也降低安全的成本。

项目组成员应清楚了解DevSecOps各个阶段

1软件供应链安全治理思路安全培训需要承担的责任和义务，并进一步对DevSec⁃

Ops体系整体过程进行学习

依托DevSecOps理念，通过构建安全工具链、整合收集有关业务系统、部署环境和合规性要求

安等方面的信息，自动识别风险和潜在弱点

安全流程、嵌入安全自动化检查等方式，将安全贯穿全

设

设计、开发、测试、运营生命周期的每个环节，推动研计威胁建模根据预定义的安全和合规性策略对整体风险

进行分类管理

发运营安全体系向敏捷化、自动化演进，应对新的云活

动

服务开发运维模型，提高业务系统安全问题修复效输出安全设计方案，并对安全问题进行跟踪

率、降低安全运营成本。图1所示为软件供应链安全

根据业务应用系统的不同安全级别来制定

治理体系。衡量指标

安全开发衡量指标，用于评估实施效果

软件供应链安全治理体系

图2安全设计活动

DevOps设计编码测试运营