全聯盟大中華區權全聯盟大中華區權?2025云安全聯盟大中華區版權所有2/research/working-groups/devsecops?2025云安全聯盟——保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯盟大中華區官網()。須遵守以下:（a）草案僅限個人、信息性及非商業用途b）不得以任何方式修改或改動草案c）不得重新分發草案d）不得移除商標、版權或其他聲明。根據中華人民共和國著作權法合理使用條款，您可以引用草案部分內容，但須注明該部分內容源自云安全聯盟。?2025云安全聯盟大中華區版權所有4致謝中文版翻譯專家翻譯組成員：?2025云安全聯盟大中華區版權所有5英文版翻譯專家在此感謝以上專家及單位。如譯文有不妥當之處，敬請讀者書處給予雅正！聯系郵箱research@c-csa.c?2025云安全聯盟大中華區版權所有6行業合作伙伴活動和產品。/ty軟件保證卓越代碼論壇（SAFECode）是一個非營利性組織，主要致力于通過改進有效的軟件保證方法以提高人們對信息與通信技術產品和服務的信任度。SAFECode是一項全球性的、由行業主導的工作，旨在確定和推廣最佳/?2025云安全聯盟大中華區版權所有7 4 6 8 8 11 ?2025云安全聯盟大中華區版權所有8云安全聯盟（CloudSecurityAllianc一套高層次的方法和成功實施的解決方案，作者通過這些方法和解決方案來快云安全聯盟（CloudSecurityAlliance）和SAFECode將聯合出版一套更為詳細的出版物，介紹支撐上述每個支柱的成功解決方案。本報告是這些后續DevSecOps將安全原則、流程和技術整合到持續的軟件開發和IT運?2025云安全聯盟大中華區版權所有9和IT運營的日益集成。傳統的安全開發方法往往難以滿足那些在云環境中工作的人快速采用的持續開發方法的需求。將安全開發實踐集成到DevOps中需要一種更敏捷的安全方法，包括增加安全流程的自動化、更性的監控和測量方法。此外，要使所有這些元素作為一個整體的DevSecOps方法協同工作，需要每個接觸該流程的人都有集體安全責任意發和維持DevSecOps項目的最佳實踐。作為第一步，工作組根據CSA的織中的六個關鍵關注領域。隨著時間的推移，我們將重新審視并建立每個DevSecOps支柱的更詳細的研究和指導，以維護特定行業的標準。本文是計劃中的系列文章的一部分，將重點關注arguably其他所有支柱基礎的領也是最具挑戰性的任務之一。這需要培養組織在軟件安全方面的思?實施安全設計的心態：在軟件開發和運營的每個階段都考慮和解決安全?2025云安全聯盟大中華區版權所有?強調個人責任和信任。這種方法使自主性和敏捷性得以增強，提供必要的安全信息和工具，以便進行知情的分散式行動和決策。這與傳統上限制性較?明確認識到安全并非與業務目標分開或截然不同，因此，積極的安全行為和激勵措施之間存在明確且可識別的一致性，并且相信團隊成員在其安全工DevSecOps執行過程中最常被提及的挑戰之一。文化通常被描述為組織的一個關鍵但無形的要素。不幸的是，這可能導致一種相當臨時的文化變革方法。在軟件安全方面，這通常表現為偶爾的黑客馬拉松或漏洞清理活動，或者可能是關于軟件安全實踐價值的年度培訓課程。這并不是說這些活動沒有價值，而是說如果它們沒有在團隊目標的背景下呈現、沒有得到加強，或者沒有包括正確的受眾，它們的影響是有限的。在周期開始時引入安全知識和培訓可以幫助高層支持與參與用于創建和維持支持安全的文化的方法各不相同，但幾乎所有成功的組織都共享的一個基本要素是支持和參與型的領導團隊。管理層的支持不僅是確保對DevSecOps進行足夠的時間和資源投入的必要條件，也是確保這些努力得到實地支持的關鍵。員工能夠分辨出對安全計劃的象征性支持或勉強支持與嚴肅承諾之間的區別，并且他們的這種認識不可避免地會反映在他們執行計劃部分?2025云安全聯盟大中華區版權所有為了獲得管理層對安全文化發展的支持，通常需要提出一個全面的、以結果為導向的計劃，而不是一系列臨時性的活動。設計一個計劃級的方法至少需要制定一個與業務戰略緊密相關的商業案例、一個詳細的實施計劃以及關鍵的項目指標。參與云安全聯盟（CSA）和SAFECode等組織也有助于了解類似組計劃設計與實施建立安全文化應被視為一項重要且持續的計劃級工作，而不僅僅是一系列臨時性活動的簡單集合。這需要對旨在培養集體安全責任感的新舉措進行精心規劃和周密部署。以下是那些希望采用計劃管理方法的人需要考慮的一些常見當一個企業設計一個支持安全文化的計劃時，任務是將安全意識和集體責任感融入現有的組織文化中。這要求安全領導者在計劃設計中考慮其組織和開發團隊的現有文化和業務實踐。一個有用的方法是研究過去需求或流程變更的例如，安全領導者可能會考慮財務和會計團隊如何與開發團隊合作，以促進和慶祝其新發票和費用報告系統在全公司的推出，初步威脅模型如何有助于簡化產品設計并降低成本和風險，或者為什么盡管增加了工作量，產品管理的新文檔要求卻如此迅速地被接受？其他一些常見問題包括以l團隊是更傾向于響應公司高層的指令，還是更傾向于接受來自工程內?2025云安全聯盟大中華區版權所有l集體安全責任文化與工程團隊以及整個公司的目標和愿景之間有什么l安全要求和實踐在哪些方面與開發流程相沖突，如何最小化這些目的l現有的文化和相關流程是否仍然與業務目標保持一致，還是已經過時？如果過時了，是否還有價值/可以改進？你的團隊可以使用的內部討論預定義的結構和流程通常內部聚焦，服務于組織結構本身而非更廣泛的業務需求（例如無效的變更控制流程，管理層和工程師都對流程不滿意，看不到其中的價值，但流程仍未改變，開始充當阻礙者而沒有增加太多價值）。l在部門隔離的模式下，跨層級的溝通可能會緩慢且低效。信息從上到下以及從下到上流動緩慢。是否可以通過簡化流程或補充一些舉措，如共享安全責任（授權）、使用自動化工具進行控制和度量，以及向管理層清晰報告有意義的度量數據（數據驅動的業務l政策、規則和程序阻礙了戰略決策的快速制定。我們看到了去中心化控制的趨勢，借助自動化的安全“緩沖器”和個體責任，并通過更好的安l人們固守舊習，害怕失去權力和地位。如果我們反復依靠少數幾個可?2025云安全聯盟大中華區版權所有信賴的人來領導關鍵舉措，而非從更廣泛的利益相關者群體獲取意見，文l快速創新和顛覆是否存在正當的業務需求，以及更高的風險偏好，或安全團隊往往與開發過程相距甚遠，無法被視為合作伙伴；他們被認為在事實上，軟件安全領域的早期先驅者學到的最深刻的教訓之一是，忽略開發者的成功需求是最快失敗的方式。在DevOps環境下，這一挑戰可能更為嚴峻，除了對單獨安全組的需求。雖然這可能是許多人所期望的未來狀態，但實際上大多數組織都發現需要維持一個專門的軟件安全團隊，以確保所需的專業知識并專注于安全問題。在實踐中，最大的組織挑戰是如何以支持所需安全文化特在早期的軟件開發模型中，安全人員和開發人員之間存在著天然的緊張關系。安全人員通常認為軟件管理在道德上是模棱兩可的，“現在發布，以后再修復”，而業務目標只是實現構建下一個更好的增量軟件版本所需的收入流。DevSecOps允許合并這兩種思維方式。安全成為產品的組成部分，用戶的安全這并不意味著使用獨立安全團隊的組織注定要失敗。這也不一定意味著將安全完全納入發展是正確的做法。事實上，這兩種模式都有成功的組織。重要的是要考慮人員配置計劃和周圍的組織結構圖支持或阻礙文化發展的方式，以?2025云安全聯盟大中華區版權所有此外，這不需要是一場要么全有要么全無的討論。事實上，使用混合方法將安全冠軍帶到挑戰中安全冠軍是開發團隊的成員，他們有權持續參與幫助指導和執行日常安全活動。與可用性有限或受限的安全團隊專家不同，安全冠軍可以可靠地支持開發團隊級別的DevSecOps執行和安全活動。許多組織發現安全冠軍計劃是擴展其軟件安全工作的關鍵。此外，安全冠軍對組織文化有直接影響。事實上，他們經常站在將集體安全責任社會化的任何努力的第一線，并有權在需要時將問有一些共同的特點。軟件安全需要一個冠軍——構建和維護成功的僅僅將已經不堪重負的軟件開發人員標記為新的常駐安全專家是不夠的。安全冠軍需要與更廣泛的安全團隊密切合作，并能夠根據風險優先考慮安全問題。通過這種方式，它們是工程團隊中上下文感知的安全驅動程序，也是安全團隊其次，雖然安全冠軍最初可能需要在工程團隊中擔任戰術安全職位，但目標應該是隨著團隊安全知識的增長而發展他們的角色。安全冠軍不應該為開發人員做安全工作，而應該充當培訓開發人員的導師，這樣他們就可以自己解決?2025云安全聯盟大中華區版權所有安全問題，在需要時尋求額外的澄清或幫助。理想情況下，安全冠軍將與首席架構師和利益相關者密切合作，擁有威脅和隱私模型，并成為由此產生的活動（識別安全相關功能、組件選擇等）的主要焦點。如果沒有這種心態，不僅難以擴大其影響，而且安全可能會繼續被視為其他人的工作（在這種情況下是安第三，僅僅找到一個安全冠軍并告訴他們去解決安全問題是行不通的。要取得成功，安全冠軍需要一個正式的、管理層支持的計劃的支持，該計劃具有明確的組織和專業目標，以及一個支持性的組織生態系統。這樣，安全冠軍計劃的成功與安全文化發展計劃的努力密切相關，因此許多組織應該將其視為一通過安全意識和培訓加強該計劃培訓是任何成功的DevSecOps計劃的重要組成部分。事實上，鑒于安全開SAFECode在其最新版本的《安全軟件開發基本實踐》【3】中還談到了培訓的重要性，指出“整個組織都應該意識到安全的重要性，必須為開發團隊提供更詳細的技術培訓，明確闡述個人和團隊的具體期望?！彪m然為直接負責實施安全開發方法的人員提供詳細技術培訓的必要性是相當明顯的，但許多組織在意識培訓工作中可能沒有接觸到足夠廣泛的受眾。為了使DevSecOps取得成功，整個團隊——架構師/設計師、技術作家、項目經?2025云安全聯盟大中華區版權所有理、開發工程師、服務和質量保證（QA）工程師、IT實的基礎安全知識。培養對安全重要性和每個團隊在安全方面所扮演的具體角考慮其他形式的外展活動，如午餐和學習課程、與安全專家安排的開放時間以及安全指導計劃。安全的游戲化也越來越受歡迎，作為一種讓安全知識更加觸手可及和引人入勝的方式，可以通過在外展組合中添加定期的黑客馬拉松據了解，培訓課程和外聯活動的時間有限，因此組織者一定要提供一種方法來獲取參與人數，并收集參與者和外聯負責人的反饋。這些評估將有助于確定最受歡迎和最有影響力的外聯活動，以便可以復制，而不太有用的活動則可此外，考慮如何利用其他現有的團隊和面向同行的活動來進一步建立安全意識和發展安全專業知識。已建立的開發方法，如對等編程和配對，可用于安全代碼審查。如果定期使用bug抨擊，可能有機會邀請一個通常不會參加此類威脅建模應該已經作為一項團隊活動進行，包括多個角色。重要的是要確保這些會議的參與率保持較高水平，不會因日程安排問題而犧牲。威脅建模會議也可以戰略性地擴展，以包括傳統上可能不會被邀請的其他人，以增加安全利益。值得注意的是，那些喜歡并在威脅建模課程中表現良好的人通常是安全最后，考慮除了安全意識和技術之外的其他技能是否有助于提高安全計劃的影響。例如，提供一組已識別的安全影響者或者接受過領導力培訓的安全冠?2025云安全聯盟大中華區版權所有軍可能會提高他們在團隊中的效率。提供演示培訓的機會可能會鼓勵其他人挺雖然培訓計劃和外聯活動的確切組合因組織而異，甚至可能因團隊而異，但在文化發展計劃的背景下，對這些舉措采取整體和全面的方法非常重要。這并不一定需要采用集中的方法來規劃培訓和外聯計劃。事實上，有時，當在團隊層面確定需求并采取行動時，外聯工作可能是最有效的。然而，了解整個組織正在做什么很重要。這不僅有助于確保培訓和外聯保持相關性和影響力，但也將確定執行中的差距，優化資源，為其他領域的工作提供信息，并為培養安計劃持續運維與成效評估制定監視和報告策略是DevSecOps規劃的一個不可或缺的元素。可操作因此，本文不會嘗試涵蓋DevSecOps度量和報告實踐的全部范圍。但是，它首先必須認識到，公司的度量標準會驅動其行為方式。這樣，組織選擇用于監控其DevSecOps計劃成功的指標將對其安全文化產生直接影響?？紤]到許多組織將激勵措施直接與項目績效指標掛鉤，度量與行為之間的聯系變得更?2025云安全聯盟大中華區版權所有例如，如果生產時間是唯一重要的指標，那么幾乎沒有動力去放慢速度來解決已識別的風險?；蛘?，如果最有價值的指標側重于功能交付而不是質量，那么這可能會促使組織生產被未來技術債務和推卸責任的文化所淹沒的軟件。相反，如果優先考慮有意義的質量指標，那么就更有可能創造一種豐富的產品當集體責任得到適當實施時，所有安全例外都必須在執行級別具有一定程度的明確問責制。安全指標不再只是用于衡量安全程序的性能/有效性。鑒于安全性在文化和技術上都嵌入到DevSecOps中，因此每個人都參與檢測和收集此外，組織文化從來都不是一成不變的;它會隨著組織的發展而改變，而最初推出DevSecOps時有效的方法可能不如項目成熟時有效。安全和開發實踐也在不斷發展，可用于支持它們的工具也在不斷發展，這反過來會影響DevSecOps運營的環境并創造文化變革。正如沒有一種單一的方法來構建支在衡量計劃有效性、識別失敗點并確保實現持續改進所需的任何保持高管的支持是長期項目維持的基本要素。衡量文化發展計劃影響的?2025云安全聯盟大中華區版權所有以衡量在計劃推出之前和之后請求的風險異常數量。如果它是衡量DevSecOps是云原生軟件開發的自然演變。如果執行得當，它可以利用本文確定了創建和維護高管支持和參與的方法，根據我們積累的經驗構建包容性文化計劃，通過安全冠軍建立深度參與，以及如何使用指標來維持、構l沒有內置堅實安全性的DevOps只會增加技術債務。將Sec放入l所有成功的DevSecOps計劃都與參與該過程的每個人共享一種集體l為了讓DevSecOps發揮作用，領導層必須允許變革。對結構化的創造l文化將與時俱進。正如先前的行動創造了當前的文化一樣，即使不是?2025云安全聯盟大中華區版權所有l由于文化在不斷變化，因此必須始終制定一個計劃來維持積極影響，?2025云安全聯盟大中華區版權所有附錄一：健康問題與討論要點l您目前是否使用威脅建模來幫助構建功能需求？