目

錄致謝.....................................................................................................................................序言..............................................................................................................................前言......................................................................................................................引言..............................................................................................................目標......................................................................................................受眾..............................................................................................1．成功的

DevSecOps

協(xié)作和集成的指導(dǎo)原則

.......1.1

領(lǐng)導(dǎo)層主動和有效的溝通

.............1.2

沒有孤島

.......................1.3

自動化

.....................1.4

以人為本的方法

.........1.5

組織背景的理解

......3...131.6

明確的所有權(quán)和責(zé)1.7

就如何衡量進......131.8

將失敗視2．基于角色的2.1..........13..............

14..................16......................17..........................17.............................

18.................................19.....................................20.........................................20.............................................20.................................................21交付流水線的集成過程

...............................

21........................................................21天內(nèi)

.......................................................23年一次

.........................................................23Ops

案例研究

........................................................24.1

擁有傳統(tǒng)組件的大型老牌公司

...........................................245.2

風(fēng)險偏好較高，規(guī)?？焖侔l(fā)展的企業(yè)

.....................................25?

202565.3

成長為規(guī)?；髽I(yè)的私人高成長型創(chuàng)業(yè)公司

...............................255.4

初創(chuàng)銀行擁抱

DevSecOps

..............................................6．DevSecOps

和其他技術(shù)實踐融合的實踐

..................................6.1

DevSecOps

和零信任

.........................................6.1.1

DevSecOps

概述

.....................................6.1.2

零信任概述

......................................6.1.3

安全設(shè)計和架構(gòu)

..............................6.1.4

安全編碼

................................6.1.5

持續(xù)構(gòu)建，集成及測試

................6.1.6

持續(xù)交付和部署

..................6.1.7

運行時防御和監(jiān)視

............6.1.8

DevSecOps

和零信結(jié)

..6.2

MLSecOps

and

AIOps

......6.3

融合

DevSecOps

和

AIOps6.4

辨別

MLSecOps

的差.337．參考

..................

35?

20257序言《協(xié)作與集成》報告充分體現(xiàn)了組織中的每個部門都同樣負責(zé)在軟期的每個階段集成安全性。DevSecOps

是一種文化取向、自動化方法方法，將安全性作為整個

IT

生命周期的共同責(zé)任。DevSecOps

是基于

DevOps

的安全敏捷化的一場變革速：企業(yè)數(shù)字化轉(zhuǎn)型的

24

項核心能力》中第

22

個作是支持和促進團隊之間的合作，反映了傳統(tǒng)上安全方面的互動程度。其中第

3

個能力要求交付的第一步。這是一種開發(fā)實踐。本報告以在

DevOps

中引入安全開發(fā)生命周期，需要在要人員、文化、流程和組織角色之間的全需要各種架構(gòu)師、軟件開發(fā)人員、De核心內(nèi)容，DevSecOps一開始就考慮應(yīng)用程序和是件生命周期各階段的安全都需李雨航

Yale

LiCSA

大中華區(qū)主席兼研究院院長?

20258前言云安全聯(lián)盟堅定致力于提高軟件安全成果。作者于

2019

年

8

月發(fā)文《DevSecOps

的六大支柱》提供了一套高級方法和成功實施于快速最大限度地減少與安全相關(guān)的漏洞的解決方案。這六大支柱是支柱

1：集體責(zé)任（2020

年

2

月

20

日發(fā)布）支柱

2：協(xié)作與集成（2024

年

2

月

21

日發(fā)支柱

3：務(wù)實的實現(xiàn)（2022

年

12

月支柱

4：建立合規(guī)與發(fā)展的橋梁支柱

5：自動化（2020

年支柱

6：測量、監(jiān)為支持六大支解決方案。本詳細的成功?

20259引言云安全聯(lián)盟

DevSecOps

工作組

(WG)

在云安全聯(lián)盟《通過反思性信息安全管理：安全、開發(fā)和運營集成的六大支柱》中發(fā)布了高級一種稱為“反思性安全”的新應(yīng)用程序安全方法。對于任何對實DevSecOps

感興趣的組織來說，這六個支柱被認為是關(guān)鍵其中支柱之一是“支柱

2：協(xié)作與集成”，可以而不是對抗來實現(xiàn)”。安全是一項團隊運動，需包括業(yè)務(wù)領(lǐng)導(dǎo)者、領(lǐng)域?qū)＜?、安全人員、架SOC

分析師和產(chǎn)品/項目經(jīng)理。需要關(guān)以確保充分了解與業(yè)務(wù)部門相關(guān)的件開發(fā)生命周期）的實踐遵循保組織支持持續(xù)的基于角隊合層和安全作，以確保安全實踐團隊需要合作，企業(yè)制定適當(dāng)?shù)木W(wǎng)絡(luò)事件s

集成到組織流程中以及促進成功實施文首先列出了

DevSecOps

溝通的指導(dǎo)原則，的基于角色的安全培訓(xùn)計劃的細節(jié)。接著，本文端到端

DevSecOps

交付流水線中進行協(xié)作。接下來角色之間所需的溝通和協(xié)作，以將新的采購集成到組織現(xiàn)流程中。本文最后有一節(jié)介紹了

DevSecOps

與零信任、AIOps等其他技術(shù)領(lǐng)域之間的融合，概述了如何利用

DevSecOps

實現(xiàn)零SecOps

中與

DevSecOps

有一些相似之處的各種問題，以及

DevSecOps利用

AIOps。?

202510受眾本文檔的目標受眾包括參與風(fēng)險、信息安全、信息技術(shù)和知識管理運營職能的人員。這包括

CISO、CIO、COO

以及參與以下職能領(lǐng)域全工程、產(chǎn)品管理、解決方案和應(yīng)用程序架構(gòu)師、自動化、De信息安全、應(yīng)用程序安全、治理、風(fēng)險管理和合規(guī)性、人（正文內(nèi)容如下）1．成功的

DevSecOps

協(xié)DevSecOps

是一種將安從開發(fā)過程的一開始就是用來描述這種集成的經(jīng)常要成功實層、產(chǎn)品性、非常重要。領(lǐng)導(dǎo)協(xié)作，確保業(yè)務(wù)連續(xù)SecOps

打造有效的跨團而下進行。領(lǐng)導(dǎo)層的大力支持將促進實施導(dǎo)層最終負責(zé)制定業(yè)務(wù)連續(xù)性目標并將其傳達給又會推動組織的資金和努力，以幫助實現(xiàn)領(lǐng)導(dǎo)層設(shè)定網(wǎng)絡(luò)事件時業(yè)務(wù)連續(xù)性的規(guī)劃至關(guān)重要，實施安全第一的隊之間的協(xié)作，以了解企業(yè)面臨的各種內(nèi)部和外部網(wǎng)絡(luò)威脅，以業(yè)務(wù)的影響。一旦充分理解了威脅模型，團隊就需要制定策略，確別和保護組織資產(chǎn)、持續(xù)監(jiān)控和檢測網(wǎng)絡(luò)威脅，以及在發(fā)現(xiàn)網(wǎng)絡(luò)漏洞時和恢復(fù)業(yè)務(wù)資產(chǎn)。使用

DevSecOps

原則將安全性集成到整個

IT

生命周期?

202511是保護和檢測功能的關(guān)鍵。1.2

沒有孤島DevSecOps

的目的是將安全性作為一項共同責(zé)任整合到整個中。這需要業(yè)務(wù)所有領(lǐng)域之間完全透明，愿意從開發(fā)過程的一并堅信安全與質(zhì)量一樣，不是一個團隊或個人的唯一職門共同承擔(dān)。領(lǐng)導(dǎo)層應(yīng)努力確保有一個持續(xù)的安全開、頻繁的溝通，努力將安全性完全集成到業(yè)手合作，共同擁有

DevSecOps

流程的成果大程度地實現(xiàn)安全自動化。工程團隊常運行并正確實施的好方法。1.3

自動化利用工具在節(jié)省時間并自動化可以活動，例如：資產(chǎn)識別、在簡事件響應(yīng)和恢復(fù)以及不同團隊的充分參與下才能成功，因此必是確保您的團隊能夠保持

DevSecOps

技術(shù)和的標準，需要慶祝取得的成就！這應(yīng)該在人員、學(xué)習(xí)以及隊的學(xué)習(xí)目標可以包括培訓(xùn)和認證，這些目標應(yīng)包含在績效計中。請記住，您需要為這些學(xué)習(xí)計劃的實施提供時間和激勵。還應(yīng)術(shù)里程碑，以保持團隊的積極性并確保

DevSecOps

計劃步入正軌。技功衡量的一些示例包括交付時間、部署頻率、可用性以及安全漏洞或攻擊的頻率。?

2025121.5

組織背景的理解各行各業(yè)的組織都是獨一無二的，每個組織都有其獨特的文化、結(jié)和運行的方法。因此，DevSecOps

方法的采用需要根據(jù)每個組織的精心定制。這不僅涉及采用合適的工具，更重要的是培養(yǎng)符合的文化。圍繞

DevSecOps

轉(zhuǎn)型的討論，過度關(guān)注工具選然而，為了讓組織獲得

DevSecOps

的真正好處，重點1.6

明確的所有權(quán)和責(zé)任對于成功的

DevSecOps

計劃，需陣）。對于每項任務(wù)，需要明確利任務(wù)，以及需要咨詢哪些利益程師負責(zé)處置在其應(yīng)用責(zé)操作系統(tǒng)層面發(fā)現(xiàn)的風(fēng)1.7

就如用性、安全風(fēng)險和管控效成協(xié)議。風(fēng)險達成一致。關(guān)于如何優(yōu)先考慮風(fēng)險的分遇失敗是不可避免的事實。他們應(yīng)該把這些挫折看作是增長和提，而不是消極看待。用這些原則將為成功的

DevSecOps

項目創(chuàng)造合適的環(huán)境，幫助組織的安全件開發(fā)實踐成熟，同時為他們的客戶提供價值。?

2025132．基于角色的安全培訓(xùn)項目的原因和計劃安全是一項團隊運動。每個組的成員都需要根據(jù)他們的角色進行培是一個復(fù)雜多樣的地方，人們有各種各樣的能力、技能和態(tài)度。在多樣性通常被用來創(chuàng)建利用這些不同能力和技能的特定角色。DevSecOps

包含了一個多維度的方法，適用于組織和鑒于個體在組織中有不同的角色，因此必須不斷提供一致的培訓(xùn)。表

1：組織中有參與者角色定義業(yè)務(wù)關(guān)鍵人員C

級高管

了平均投資者其指標（響應(yīng)和修復(fù)平均指標。在他們的工作方式和產(chǎn)品生命周組織的

DevSecOps

計劃負責(zé)。負責(zé)定義

DevSecOps

計劃目標。

使

DevSecOps

計劃與商業(yè)目標和目標保持一致。

對他們相應(yīng)部門的

DevSecOps

計劃負責(zé)。裁?

202514

負責(zé)定義

DevSecOps

實施功能要求。

負責(zé)監(jiān)控

DevSecOps

過程并升級潛在問題。

負責(zé)定義

DevSecOps

實施功能要求。安全團隊領(lǐng)導(dǎo)安全運營（滲透測

負責(zé)將

DevSecOps

輸入納入他們的運試人員，IR

團隊，

受

DevSecOps

實施者咨詢。威脅情報）DevOps/平臺利益相關(guān)者

對

DevSecOps

流

咨詢定義

咨VP

/工程總監(jiān)：。影響。平臺evSecOps

流程負責(zé)。的應(yīng)用程序中的實施。實施對他們相應(yīng)的應(yīng)用程序的影響發(fā)布（CI

/

CD）工作流程中實施和維護流程。責(zé)遵循

DevSecOps

流程。

咨詢

DevSecOps

流程實施和持續(xù)改進。?

202515Scrum

Masters

和

負責(zé)在開發(fā)流程中通知和推廣

DevSecOps

流程。項目經(jīng)理

咨詢

DevSecOps

流程實施和持續(xù)改進。質(zhì)量保證利益相關(guān)者質(zhì)量保證副總裁/

咨詢定義

DevSecOps

實施功能要總監(jiān)質(zhì)量保證經(jīng)理

對

DevSecOps

在

QA

流

咨詢以評估

Dev質(zhì)量保證和團隊

對

DevSe領(lǐng)導(dǎo)

咨2.1

安全培在時多人可能沒有足夠的要的。例如，該計劃可以讓模。訓(xùn)就至關(guān)重要。這將使成員熟悉安全送定期的電子郵件通信或內(nèi)部新聞簡訊，保持組織的更新。求更深入的見解，并主動提問或提出關(guān)于安全主題的個查詢都來自“安全客戶”至關(guān)重要。接受

DevSecOps員安全地發(fā)布他們的工作的能力，而不是阻礙他們。些希望深入研究的安全愛好者或“冠軍”，可以考慮組成一個專門的組。使用公司的協(xié)作工具來促進關(guān)于安全相關(guān)主題的頻繁討論，并至少每度安排定期的內(nèi)部研討會或聚會。?

2025162.2

如何獲得安全培訓(xùn)計劃的認可和支持從多元化的業(yè)務(wù)負責(zé)人那里獲得支持可能會很有挑戰(zhàn)性，尤其是在工有專門時間處理他們組織內(nèi)部的安全問題的情況下。然而，這不立的努力。強調(diào)對領(lǐng)導(dǎo)層的必要性，即定期解決安全問題并與解決，以防止重大的安全事件發(fā)生。應(yīng)向領(lǐng)導(dǎo)層強調(diào)，網(wǎng)的數(shù)據(jù)丟失，客戶流失，業(yè)務(wù)停機等影響。為獲得安領(lǐng)導(dǎo)展示安全培訓(xùn)計劃在減少組織中的網(wǎng)絡(luò)事件的勞動力，健全的

devsecops

計劃，以及組另一個挑戰(zhàn)在于保持員工對安全期舉辦安全會議，并每月留出

30時刻提供了公開承認安全冠例如讓他們參與關(guān)鍵的，。2.3

如何衡量衡量的參與者數(shù)量，以及的安全測驗，桌面演練和測量識以及參與者在這種情況下會vSecOps

協(xié)作文化后，您可以引入其他指安全問題數(shù)量在定義的內(nèi)部服務(wù)等級協(xié)議內(nèi)解決的安全問題數(shù)量?

202517

安全事件頻率的變化補救平均時間安全問題數(shù)量上升或下降檢測安全問題的平均時間修復(fù)安全問題的平均時間3．交付流水線中的協(xié)作和下圖列舉了構(gòu)成端到端軟件需要利益相關(guān)者之間保持溝紹每個具體階段，并針介及這些利益相關(guān)者之間為安全開一種從這種視覺效果給人之間存在雙向反饋循環(huán)。?

202518線的跨團隊協(xié)作，其中包括系統(tǒng)和安全架構(gòu)和開發(fā)人員合作，將產(chǎn)品團隊開發(fā)的產(chǎn)品愿輸入，并生成理想的系統(tǒng)高級設(shè)計

(HLD)。

實現(xiàn)驟還應(yīng)包括系統(tǒng)的滲透測試、紅隊、藍隊和紫隊練習(xí)的開發(fā)人員在此階段合作評估各種設(shè)計選擇，并提出理想的功能和非功能要求。

安全架構(gòu)師為系統(tǒng)開發(fā)威脅模型，以了解擇的威脅向量、攻擊面、安全風(fēng)險和暴露半徑。

安全架構(gòu)師還評估重用組織中其他團隊成功使用的現(xiàn)有安全設(shè)計模式。?

2025193.2

安全編碼階段在此階段，項目經(jīng)理和開發(fā)人員合作，確保項目包含從安全設(shè)計構(gòu)階段實現(xiàn)理想架構(gòu)所需的高級里程碑。

開發(fā)團隊使用敏捷開發(fā)這些里程碑分解為史詩、用戶故事和任務(wù)。

每日站會和項目發(fā)步入正軌并向前推進，并且團隊成員保持一致。

在代開發(fā)人員使用安全編碼實踐、OWASP

等安全標準、審查流程來協(xié)作和開發(fā)安全代碼。

早期階段的份驗證、授權(quán)、審計以及與構(gòu)建系統(tǒng)、成的代碼。3.3

持續(xù)構(gòu)建、集成和測在此階段，開發(fā)人構(gòu)團隊協(xié)作開發(fā)測試自性能、質(zhì)量、用來自代試系統(tǒng)的開發(fā)團隊使鏡像掃描、測試果來解決代碼和設(shè)計中發(fā)現(xiàn)的任何差距都需要設(shè)計調(diào)整和修改。

敏捷用于讓設(shè)計變更和錯誤修復(fù)。運營人員協(xié)作為項目開發(fā)持續(xù)部署

(CD)

流水線，并持續(xù)部署工具中。

團隊共同努力，為系統(tǒng)設(shè)置持續(xù)監(jiān)控跟蹤關(guān)鍵績效指標

(KPI)

和警報。

該團隊還合作開發(fā)項目事以確保項目與事件響應(yīng)平臺集成，并制定第

2

天支持的待命時間?

2025203.5

運行時防御和監(jiān)控在這個階段，開發(fā)人員和運營團隊協(xié)作，確保系統(tǒng)在第二天的生產(chǎn)行。運營和開發(fā)團隊始終掌握項目

KPI

儀表板和安全事件，并共同報和安全事件。運營團隊通常是事件發(fā)生時的第一道防線。如事件將上報給開發(fā)團隊。

事件發(fā)生后，通常會有一個事構(gòu)、開發(fā)和運營團隊聚集在一起，向高層領(lǐng)導(dǎo)簡要介事件的詳細信息以及這一事件是否可以避免。

然要修復(fù)系統(tǒng)中的設(shè)計和編碼差距提供反饋。4.新收購項目與

Dev當(dāng)一家新公司被收重要，有兩個原因：一是程中。收購方成到現(xiàn)有流4.1t、GitHub、GitLab、Subversion名稱。RL。整理每個代碼存儲庫支持的每個應(yīng)用于每個應(yīng)用程序和產(chǎn)品的產(chǎn)品經(jīng)理和工程師負織使用的編程語言及其比例。這有助于識別控制（掃描、方面的差距。定使用了哪些工具/流程（如有）：

隱密掃描?

202521

靜態(tài)代碼分析動態(tài)分析容器/圖像掃描作為代碼掃描的基礎(chǔ)設(shè)施漏洞管理威脅建模配置風(fēng)險/基線掃描軟件即服務(wù)風(fēng)險身份和訪變當(dāng)前

DevSecOps

的成熟度。re、GCP

等）和內(nèi)部部署環(huán)境資源相應(yīng)的所共享。，將所有安全掃描結(jié)果和可用日志作為新的數(shù)據(jù)源添加，構(gòu)的安全運營中心（SOC）。購方的高管、產(chǎn)品經(jīng)理和軟件工程師討論，從工作優(yōu)先級的角度，如何處理安全問題。是否在每次沖刺中都分配了時間、金錢和人員來滿足安全和架構(gòu)現(xiàn)代化?

202522要求？根據(jù)上述信息，確定與收購方流程和優(yōu)先級方面的差距。注：現(xiàn)階段，不應(yīng)對被收購方現(xiàn)有的軟件開發(fā)流程進行任何變更，程的風(fēng)險超過收購方的風(fēng)險偏好。4.2

收購后

180

天內(nèi)1.

使用

DevSecOps

成熟度模型來衡量被相同的模型。流行的

DevSecOps

成熟

OWASP

DevSecOps

成熟度模

云原生計算基礎(chǔ)成熟

軟件保證成熟2.

根據(jù)成其達成ps

計劃并促4.3計劃。水

平

，

并

有獨

特

的

途

徑來

改

進

其軟件開發(fā)過程應(yīng)該在每個團隊的實際基礎(chǔ)的

DevSecOps

成熟度水平（團隊、產(chǎn)品、部門等）。ecOps

案例研究本節(jié)快速概述了一些不同規(guī)模、處于業(yè)務(wù)生命周期不同階段的組織的真?

202523實案列，這些組織成功地實施了

DevSecOps，作為其數(shù)字化轉(zhuǎn)型之旅的一部分，以及支撐其

DevSecOps

實施的關(guān)鍵方面。5.1

擁有傳統(tǒng)組件的大型老牌公司Capital

One

開始了

DevSecOps

轉(zhuǎn)型之旅，以增強安全性軟件交付。以下是他們?nèi)绾螌崿F(xiàn)

DevSecOps

的概述。文化轉(zhuǎn)型：Capital

One

專注于在開發(fā)、運營責(zé)任的文化。他們培養(yǎng)了開放的溝通渠道，責(zé)任共擔(dān)。自動化安全控制：Capital

One他們將靜態(tài)應(yīng)用程序安全測掃描工具集成到其持續(xù)集漏洞。安全持續(xù)合規(guī)調(diào)持續(xù)合安全/CD

流水線，強遵守行業(yè)法規(guī)和內(nèi)部面的威脅建模和風(fēng)險評估，以確了攻擊表面，識別了漏洞，并實施了通過將其分解為更小、更易于管理的單元，逐。他們采用了微服務(wù)架構(gòu)和容器化，以提高可擴展性、他們能夠有效地將

DevSecOps

實踐應(yīng)用于現(xiàn)代化的組件。編排：Capital

One

利用安全自動化和編制工具來簡化安全流程實施了安全事件和事件管理（SIEM）系統(tǒng)、安全編排與自動化響應(yīng)平臺以及高級威脅檢測機制，以增強其安全操作?

2025245.2

風(fēng)險偏好較高，規(guī)?？焖侔l(fā)展的企業(yè)大

型

公

司

成

功

實

施

DevSecOps

的

一

個

例

子

是

Netflix

。

他

們

采DevSecOps

實踐，以確保其應(yīng)用程序和基礎(chǔ)設(shè)施的安全，同時保持活性和快速部署周期。以下是

Netflix

如何實現(xiàn)

DevSecOps

的概擁抱

DevOps

文化：Netflix

培養(yǎng)了開發(fā)、運營和安全責(zé)任的文化。他們鼓勵在整個軟件開發(fā)生命周期中跨自動化安全流程：Netflix

自動化安全流程，集成和持續(xù)部署（CI/CD）流水線中。他們實儀，以便在開發(fā)過程的早期識別漏洞和持續(xù)安全測試：Netflix

在整個應(yīng)用程序安全測試（SAST）、動

態(tài)這使他們能夠快速檢測和基礎(chǔ)設(shè)施即代碼基礎(chǔ)設(shè)施。他們使用了

A全地自動化安全等工具來安統(tǒng)，用于實時檢測和響應(yīng)EM）工具、日志分析和威協(xié)作和知識分享。他們定期舉辦安開討論，以提高整個組織的安全意識和的私人高成長型創(chuàng)業(yè)公司長為可擴展

DevSecOps

實現(xiàn)的例子是特殊商品市場用

DevSecOps

實踐，以確保其市場和微服務(wù)的安全，而不狀態(tài)和平臺可用性。以下是

Catawiki

如何實現(xiàn)

DevSecOps

的概擁抱開發(fā)人員和安全性之間的合作：Catawiki

的

DevSecOps

第一個里程?

202525碑是打破了“你負責(zé)安全，我負責(zé)編碼”的心態(tài)。作為這一過程的一部分，安全部門的作用從質(zhì)量的把關(guān)者演變?yōu)樵谡麄€軟件開發(fā)生命周期中提供持續(xù)反饋和輸入的推動者。這種新方法促進了安全、開發(fā)和基礎(chǔ)設(shè)施團隊間的信任和更密切的合作。標準化組件：考慮到開發(fā)團隊的成熟度和技能水平各不相認識到創(chuàng)建一個所有人都可以依賴的共同基礎(chǔ)的重要性，他們建立了標準框架、模板和基礎(chǔ)設(shè)施即代碼（IaC）輕松實現(xiàn)安全性。內(nèi)置安全：Catawiki

自動化安全流程，將部署（CI/CD）流水線中。他們明智地選化安全工具，保持與當(dāng)前的工作方實施持續(xù)評估和單一窗口中最大限度地采用安全技工具和報告。他們還員的角度實現(xiàn)價實施漏洞人全性只有從研究人員檢查他外部角們VSS）和內(nèi)部服務(wù)水確認解決漏洞的優(yōu)先級。外，Catawiki

還通過游戲化服他們?yōu)榻鉀Q漏洞而獎勵團隊積分加深對安全的理解。vSecOps在使用過時的傳統(tǒng)技術(shù)，但受益于云原生系統(tǒng)具有更勢，銀行業(yè)正在發(fā)生變化。在這種演變中，初創(chuàng)公司

10xnologies

正逐漸嶄露頭角。他們率先開發(fā)了專為大型銀行設(shè)計的銀行平臺，有效解決了傳統(tǒng)系統(tǒng)帶來的成本和安全挑戰(zhàn)。以下是

10x

Future

Technologies

如何將

DevSecOps

融入其整體戰(zhàn)略的概?

202526述。通過使用工具集，促進安全團隊與開發(fā)團隊之間的合作：

在

10x，通過讓每個人都能訪問，用于跟蹤工具發(fā)現(xiàn)漏洞的實時儀表板，促進安全隊與開發(fā)團隊之間的合作。這些工具集可以對存在的漏洞發(fā)出警報對所有團隊成員的透明度和可訪問性。透明度是一種重要機制個團隊都了解自己作為團隊成員在交付安全的軟件中扮演安全責(zé)任共擔(dān)：

在開發(fā)云原生銀行平臺的過程中策略非常重要，以加強對安全的實踐。通過提高推動日常任務(wù)中的團隊合作以及積極實施安有團隊成員的共同責(zé)任。實施漏洞安全持續(xù)審查流程：召開由整個組織不同團隊的代題時考慮到廣泛的觀點。組織做好準備應(yīng)對不在組織文化之間開放的且團隊法進一步強精神。通過這種化了安寶多的共鳴和理解。x

能夠圍繞軟件交付建立三大支柱如何以合作的方式，其他技術(shù)實踐融合的實踐述本文中闡述的一些原則和與其他技術(shù)實踐的交互流程，s

與這些技術(shù)實踐之間如何協(xié)作以實現(xiàn)更好的安全成果。本的技術(shù)實踐包括零信任、AIOps

和

MLSecOps

以及數(shù)據(jù)網(wǎng)格。?

2025276.1

DevSecOps

和零信任6.1.1

DevSecOps

概述DevSecOps

是一種將安全實踐融入

DevOps

流水線的方法，運營和安全團隊的共同責(zé)任。其主要原則包括自動化、協(xié)續(xù)交付（CI/CD）和反饋循環(huán)。6.1.2

零信任概述零信任是一種安全戰(zhàn)略。它假定無何實體，都不應(yīng)被默認信任。無論設(shè)備和應(yīng)用程序的身份和可信識別與訪問管理、微隔離DevSecOps

與零DevSecOps基礎(chǔ)要素。6.1vSecOps

團隊之間的合作至證"的原則。它鼓勵設(shè)計不信任任和應(yīng)用架構(gòu)。這意味著從一開始就進戶身份驗證。零信任團隊可以指導(dǎo)如何實vSecOps

可以確保將這些控制集成到架構(gòu)中。計既安全又符合零信任的

"絕不信任，始終驗證

"為例：?

202528

零信任架構(gòu)師：指導(dǎo)

DevSecOps

工程師為新的云應(yīng)用程序設(shè)計微隔離控制。這種指導(dǎo)可能包括定義微隔離、確定需要微隔離的應(yīng)用程序和服務(wù)，推薦微隔離工具和技術(shù)。

DevSecOps

工程師：與開發(fā)團隊合作，將微隔離控制集成構(gòu)中。這可能涉及配置基于云的安全工具、開發(fā)自定義微隔試和驗證微隔離控制措施。6.1.4

安全編碼在安全編碼階段，零信任團隊和

DevSe零信任強調(diào)需要驗證和確認用戶和應(yīng)全編碼實踐的關(guān)注是一致的。De并執(zhí)行基于身份的安全策略能訪問代碼。這種協(xié)作到開發(fā)流程中。以用戶身份零信任全策略份的代碼安權(quán)限，確定需要訪訪問控制技術(shù)?；谏矸莸拇a安全策略。身份的訪問控制，與身份管理，以及使用代碼分析工具識別和修全漏洞。及測試集成和測試階段，零信任團隊和

DevSecOps

團隊之間的的身份驗證與訪問控制至關(guān)重要。零信任對持續(xù)驗證與對使用自動化安全測試工具的重視程度是一致的。當(dāng)

DevSecOps持續(xù)驗證用戶和應(yīng)用程序身份集成到

CI/CD

流水線中時，零信任團隊可以指導(dǎo)如何驗證這些原則。協(xié)作可確保針對每個請求的訪問控制重新評?

202529估，并使自動化安全測試工具與持續(xù)驗證的零信任模型保持一致。零信任架構(gòu)師：

指導(dǎo)

DevSecOps

工程師定義和執(zhí)行基于身份的代碼安全策略。這種指導(dǎo)可能包括定義用戶訪問代碼所需的角色和權(quán)限，確定要能夠訪問代碼的應(yīng)用程序和服務(wù)，以及推薦身份驗證和訪問控制DevSecOps

工程師：

與開發(fā)團隊合作，實施基于身份的代這可能涉及配置源代碼控制系統(tǒng)以執(zhí)行基于身份的訪問控系統(tǒng)集成以驗證用戶和應(yīng)用程序的身份，以及使用代復(fù)與身份和訪問控制相關(guān)的安全漏洞。6.1.6

持續(xù)交付和部署在持續(xù)交付和部署階段，零信確保對部署資源的訪問受到任對訪問控制和身份驗用是一致的。零信將其集成到部并對可疑s

則行驗證，零水線中實施持續(xù)身應(yīng)用程序身份的推薦方工具和技術(shù)，以及將持續(xù)的指導(dǎo)：與開發(fā)團隊合作，在問控制。這可能涉及配置

CI/CD

工具統(tǒng)集成以驗證用戶和應(yīng)用程序的身份，別和修復(fù)與身份和訪問控制相關(guān)的安全漏洞。和監(jiān)視隊和

DevSecOps

團隊之間的合作對于運行防御和監(jiān)控階段控和行為分析至關(guān)重要。零信任原則與

DevSecOps

對持續(xù)監(jiān)控和反饋的關(guān)注是一致的。零信任團隊可以為實施網(wǎng)絡(luò)分段、微隔離和行為監(jiān)控提供見解，而

DevSecOps

則確保這些措施得到有效維護。這種協(xié)作?

202530可確保任何可疑行為都會觸發(fā)調(diào)查和自動響應(yīng)，從而與持續(xù)監(jiān)控原則和零信任的主動防御保持一致。零信任架構(gòu)師:指導(dǎo)

DevSecOps

工程師為部署的應(yīng)用程序?qū)崿F(xiàn)持續(xù)監(jiān)和行為分析。該指導(dǎo)可能包括用于持續(xù)監(jiān)控和行為分析所推薦的工術(shù)，提供關(guān)于配置持續(xù)監(jiān)控和行為分析工具用于檢測可疑活動幫助定義響應(yīng)可疑活動的策略活動。DevSecOps

工程師：與運維團隊合作，對部署的應(yīng)和行為分析。這可能涉及配置監(jiān)控工具以收集有部署安全工具以檢測所收集數(shù)據(jù)中的可疑活響應(yīng)

(SOAR)

工具集成，以自動響應(yīng)可6.1.8

DevSecOps

和零信當(dāng)考慮到軟件開發(fā)叉點尤其強大。De強調(diào)了即使在共同創(chuàng)建信任問。它們行時防御，為應(yīng)用演進分支，對于充分發(fā)揮機器學(xué)習(xí)模的環(huán)境中協(xié)調(diào)運行過程，包括良好的基礎(chǔ)設(shè)部署和持續(xù)的性能監(jiān)控，從而確保機器學(xué)習(xí)模型，MLSecOps

還將安全措施和隱私因素納入工作流程，模型的保護以及底層基礎(chǔ)設(shè)施免受各種威脅。于

Gartner。AIOps

是人工智能功能的應(yīng)用，旨在提高運營效率。AIOps

利用大數(shù)據(jù)和機器學(xué)習(xí)來：.收集由基礎(chǔ)設(shè)施、應(yīng)用程序和服務(wù)生成的大量數(shù)據(jù)?

2025312.對數(shù)據(jù)應(yīng)用各種轉(zhuǎn)換以提取特征3.訓(xùn)練機器學(xué)習(xí)模型，建立行為基線4.應(yīng)用機器學(xué)習(xí)模型生成信號5.使用機器學(xué)習(xí)、符號

AI、基于

AI

的規(guī)劃和本體推理來6.應(yīng)用機器學(xué)習(xí)模型來關(guān)聯(lián)這些信號和根本原因分MLSe