DevSecOps的六大支柱：集体责任.docx

全联盟大中华区权

全联盟大中华区权

7

目录

致谢 4

行业合作伙伴 6

简介 8

概述 8

高层支持与参与 10

计划设计与实施 11

将冠军带到挑战中 14

通过安全意识和培训加强该计划 15

计划持续运维与成效评估 17

总结 19

附录一：健康问题与讨论要点 21

附录二：延伸阅读 22

8

简介

云安全联盟（CloudSecurityAlliance）和SAFECode都坚定地致力于改善软件安全成果。2019年8月发布的论文《DevSecOps的六大支柱》提供了一套高层次的方法和成功实施的解决方案，作者通过这些方法和解决方案来快速构建软件，并尽量减少与安全相关的错误。这六大支柱是

支柱1：集体责任

支柱2：培训和流程整合

支柱3：务实的实现

支柱4：建立合规与发展的桥梁

支柱5：自动化

支柱6：测量、监控、报告和行动

云安全联盟（CloudSecurityAlliance）和SAFECode将联合出版一套更为详细的出版物，介绍支撑上述每个支柱的成功解决方案。本报告是这些后续出版物中的第一份。

概述

DevSecOps将安全原则、流程和技术整合到持续的软件开发和IT运营文化中，从而影响其实践和工作流程。它将传统上相互隔离的开发、基础设施运营和信息安全领域汇聚在一起，通过一套共同的流程、程序和工具自动化，促进安全软件的开发。

对DevSecOps兴趣的增加，部分是由于云计算优先的软件开发环境推动的，这种环境具有越来越短的产品生命周期、更迭代的开发方法以及开发

9

和IT运营的日益集成。传统的安全开发方法往往难以满足那些在云环境中工作的人快速采用的持续开发方法的需求。将安全开发实践集成到DevOps中需要一种更敏捷的安全方法，包括增加安全流程的自动化、更周到和务实的安全实施规划、更明确地列举风险和合规要求，以及更具操作性的监控和测量方法。此外，要使所有这些元素作为一个整体的DevSecOps方法协同工作，需要每个接触该流程的人都有集体安全责任意识。

鉴于对DevSecOps的兴趣增加，云安全联盟（CSA）和软件保证卓越代码论坛（SAFECode）组成了一个DevSecOps工作组，以识别和分享开发和维持DevSecOps项目的最佳实践。作为第一步，工作组根据CSA的反射性安全框架中描述的六大支柱，确定并定义了将DevSecOps集成到组织中的六个关键关注领域。随着时间的推移，我们将重新审视并建立每个DevSecOps支柱的更详细的研究和指导，以维护特定行业的标准。本文是计划中的系列文章的一部分，将重点关注arguably其他所有支柱基础的领域——集体责任。

培养集体安全责任意识不仅是将安全融入DevOps环境的重要组成部分，也是最具挑战性的任务之一。这需要培养组织在软件安全方面的思维方式、理念、习俗和行为的转变。在本报告中，我们将这种努力称为构建支持安全的文化。这种文化的一些显著特征包括以下特点：

?实施安全设计的心态：在软件开发和运营的每个阶段都考虑和解决安全问题。安全不是事后的想法，也不是仅仅通过审计发现来处理的问题。

?一种全员参与——从开发到IT运营再到高层管理——在确保软件安全方

10

面发挥作用，并作为组织应对当今复杂威胁环境的第一道防线的意识。

?强调个人责任和信任。这种方法使自主性和敏捷性得以增强，提供必要的安全信息和工具，以便进行知情的分散式行动和决策。这与传统上限制性较强、手动密集且相互隔离的安全流程有所不同。

?明确认识到安全并非与业务目标分开或截然不同，因此，积极的安全行为和激励措施之间存在明确且可识别的一致性，并且相信团队成员在其安全工作中会得到支持。

尽管关于培养支持安全的文化的必要性已有大量著作，但它仍然是DevSecOps执行过程中最常被提及的挑战之一。文化通常被描述为组织的一个关键但无形的要素。不幸的是，这可能导致一种相当临时的文化变革方法。在软件安全方面，这通常表现为偶尔的黑客马拉松或漏洞清理活动，或者可能是关于软件安全实践价值的年度培训课程。这并不是说这些活动没有价值，而是说如果它们没有在团队目标的背景下呈现、没有得到加强，或者没有包括正确的受众，它们的影响是有限的。在周期开始时引入安全知识和培训可以帮助避免这些临时会议的需要。

高层支持与参与

用于创建和维持支持安全的文化的方法各