【CSA GCR】DevSecOps 的六大支柱協(xié)作與集成

EQ\*jc3\*hps25\o\al(\s\up10(ou),se)@2025云安全聯(lián)盟大中華區(qū)一保留所有權(quán)利。你可以在你的電腦上下載.儲(chǔ)存.展示.查看及打印，或者訪問(wèn)云安全聯(lián)盟大中華區(qū)官網(wǎng)()。須遵守以下：(a)本文只可作個(gè)人.信息獲取.非商業(yè)用途；(b)本文內(nèi)容不得篡改；(c)本文不得轉(zhuǎn)發(fā)；(d)該商標(biāo).版權(quán)或其他聲明不得刪除。在遵循中華人民共和國(guó)著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時(shí)請(qǐng)注明引用于云安全聯(lián)盟大中華區(qū)?！?025云安全聯(lián)盟大中華區(qū)版權(quán)所有2聯(lián)盟簡(jiǎn)介云安全聯(lián)盟大中華區(qū)(CloudSecurityAllianceGreaterChina我們的工作AlAl安全元宇宙區(qū)塊鏈10萬(wàn)+云安全數(shù)據(jù)安全云審計(jì)零信任峰會(huì)區(qū)塊鏈隱私計(jì)算云安全云安全

致謝《DevSecOps的六大支柱：協(xié)作與集成(TheSixPillarsofDevSecOps:CollaborationandIntegration)》由AbdulRahmanSattar編寫，并由CSA大中華區(qū)專家組織翻譯并審校。(以下排名不分先后):中文版翻譯專家組組長(zhǎng)：翻譯組成員：何伊圣歐建軍王彪王貴宗伏偉任謝紹志審校組成員：研究協(xié)調(diào)員：閉俊林易利杰貢獻(xiàn)單位：北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司英文版本編寫專家主要作者：審稿人：◎2025云安全聯(lián)盟大中華區(qū)版權(quán)所有5◎2025云安全聯(lián)盟大中華區(qū)版權(quán)所有6 4 8 9 1.成功的DevSecOps協(xié)作和集成的指導(dǎo)原則 1.6明確的所有權(quán)和責(zé)任 1.7就如何衡量進(jìn)展達(dá)成一致 1.8將失敗視為機(jī)遇 2.基于角色的安全培訓(xùn)項(xiàng)目的原因和計(jì)劃 2.1安全培訓(xùn)計(jì)劃的實(shí)施 2.2如何獲得安全培訓(xùn)計(jì)劃的認(rèn)可和支持 2.3如何衡量安全培訓(xùn)計(jì)劃的成功 3.交付流水線中的協(xié)作和集成 3.1安全設(shè)計(jì)和架構(gòu)階段 3.2安全編碼階段 203.3持續(xù)構(gòu)建、集成和測(cè)試 20 203.5運(yùn)行時(shí)防御和監(jiān)控 21 214.1收購(gòu)后60天內(nèi) 4.2收購(gòu)后180天內(nèi) 234.3至少每年一次 23 5.1擁有傳統(tǒng)組件的大型老牌公司 245.2風(fēng)險(xiǎn)偏好較高，規(guī)?？焖侔l(fā)展的企業(yè) 25◎2025云安全聯(lián)盟大中華區(qū)版權(quán)所有75.3成長(zhǎng)為規(guī)模化企業(yè)的私人高成長(zhǎng)型創(chuàng)業(yè)公司 255.4初創(chuàng)銀行擁抱DevSecOps 6.DevSecOps和其他技術(shù)實(shí)踐融合的實(shí)踐 276.1DevSecOps和零信任 286.1.1DevSecOps概述 286.1.2零信任概述 286.1.3安全設(shè)計(jì)和架構(gòu) 286.1.4安全編碼 296.1.5持續(xù)構(gòu)建，集成及測(cè)試 296.1.6持續(xù)交付和部署 6.1.7運(yùn)行時(shí)防御和監(jiān)視 6.1.8DevSecOps和零信任總結(jié) 6.3融合DevSecOps和AIOps 7.參考 序言《協(xié)作與集成》報(bào)告充分體現(xiàn)了組織中的每個(gè)部門都同樣負(fù)責(zé)在軟件開發(fā)周期的每個(gè)階段集成安全性。DevSecOps是一種文化取向、自動(dòng)化方法和平臺(tái)設(shè)計(jì)方法，將安全性作為整個(gè)IT生命周期的共同責(zé)任。DevSecOps是基于DevOps的安全敏捷化的一場(chǎng)變革，其中DevOps名著《加速：企業(yè)數(shù)字化轉(zhuǎn)型的24項(xiàng)核心能力》中第22個(gè)能力要求即是協(xié)作能力，協(xié)作是支持和促進(jìn)團(tuán)隊(duì)之間的合作，反映了傳統(tǒng)上孤立的團(tuán)隊(duì)在開發(fā)，運(yùn)營(yíng)和信息安全方面的互動(dòng)程度。其中第3個(gè)能力要求即是集成能力，集成能力是實(shí)現(xiàn)持續(xù)交付的第一步。這是一種開發(fā)實(shí)踐。本報(bào)告以在DevOps中引入安全性為起點(diǎn)，由淺入深地介紹基于DevOps的安全開發(fā)生命周期，需要在每個(gè)階段充分地理解軟件生命周期各階段的安全都需要人員、文化、流程和技術(shù)的組合推進(jìn)。安全的本質(zhì)是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)，需要各種組織角色之間的全面協(xié)作，包括業(yè)務(wù)領(lǐng)導(dǎo)者、領(lǐng)域?qū)＜摇踩藛T、架構(gòu)師、軟件開發(fā)人員、滲透測(cè)試人員、SOC分析師和產(chǎn)品/項(xiàng)目經(jīng)理。DevSecOps也是CSA頂級(jí)云安全專家課程(CSAACSE)的核心內(nèi)容，DevSecOps是踐行共享安全責(zé)任的協(xié)作表現(xiàn)，DevSecOps意味著從一開始就考慮應(yīng)用程序和基礎(chǔ)設(shè)施的安全性。需要在每個(gè)階段充分地理解軟件生命周期各階段的安全都需要人員、文化、流程和技術(shù)的組合推進(jìn)。云安全聯(lián)盟堅(jiān)定致力于提高軟件安全成果。作者于2019年8月發(fā)表的論文《DevSecOps的六大支柱》提供了一套高級(jí)方法和成功實(shí)施于快速構(gòu)建軟件并最大限度地減少與安全相關(guān)的漏洞的解決方案。這六大支柱是：支柱3:務(wù)實(shí)的實(shí)現(xiàn)(2022年12月14日發(fā)布)支柱4:建立合規(guī)與發(fā)展的橋梁(2022年2月8日發(fā)布)支柱6:測(cè)量、監(jiān)控、報(bào)告和行動(dòng)(2024年5月發(fā)布)為支持六大支柱，云安全聯(lián)盟和SAFECode1聯(lián)合發(fā)布了一系列更詳細(xì)的成功解決方案。本報(bào)告是此系列出版物的第二篇。引言云安全聯(lián)盟DevSecOps工作組(WG)在云安全聯(lián)盟《通過(guò)反思性安全進(jìn)行信息安全管理：安全、開發(fā)和運(yùn)營(yíng)集成的六大支柱》中發(fā)布了高級(jí)指南，介紹了一種稱為“反思性安全”的新應(yīng)用程序安全方法。對(duì)于任何對(duì)實(shí)現(xiàn)反思性安全或DevSecOps感興趣的組織來(lái)說(shuō)，這六個(gè)支柱被認(rèn)為是關(guān)鍵關(guān)注領(lǐng)域。其中支柱之一是“支柱2:協(xié)作與集成”,可以概括為“安全只能通過(guò)合作而不是對(duì)抗來(lái)實(shí)現(xiàn)”。安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)，需要各種組織角色之間的全面協(xié)作，包括業(yè)務(wù)領(lǐng)導(dǎo)者、領(lǐng)域?qū)＜?、安全人員、架構(gòu)師、軟件開發(fā)人員、滲透測(cè)試人員、SOC分析師和產(chǎn)品/項(xiàng)目經(jīng)理。需要關(guān)鍵利益相關(guān)者和各個(gè)組織角色之間的協(xié)作，以確保充分了解與業(yè)務(wù)部門相關(guān)的威脅態(tài)勢(shì)，并確保有組織的IT活動(dòng)(包括軟件開發(fā)生命周期)的實(shí)踐遵循適當(dāng)?shù)陌踩?xí)慣。各個(gè)利益相關(guān)者還需要協(xié)作來(lái)確保組織支持持續(xù)的基于角色的安全培訓(xùn)。安全擁護(hù)者必須與組織中的其他團(tuán)隊(duì)合作，以確保安全實(shí)踐得到充分記錄并經(jīng)常在整個(gè)組織內(nèi)進(jìn)行溝通。領(lǐng)導(dǎo)層和安全團(tuán)隊(duì)需要合作，以確保業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)納入相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)，并確保企業(yè)制定適當(dāng)?shù)木W(wǎng)絡(luò)事件響應(yīng)策略。目標(biāo)本文的主要重點(diǎn)是強(qiáng)調(diào)將DevSecOps集成到組織流程中以及促進(jìn)成功實(shí)施DevSecOps所需的協(xié)作的重要性。本文首先列出了DevSecOps溝通的指導(dǎo)原則，然后深入研究在組織中實(shí)施持續(xù)的基于角色的安全培訓(xùn)計(jì)劃的細(xì)節(jié)。接著，本文將介紹不同組織角色如何在端到端DevSecOps交付流水線中進(jìn)行協(xié)作。接下來(lái)的一節(jié)介紹了不同組織角色之間所需的溝通和協(xié)作，以將新的采購(gòu)集成到組織現(xiàn)和MLSecOps等其他技術(shù)領(lǐng)域之間的融合，概述了如何利用DevSecOps實(shí)現(xiàn)零如何利用AlOps。受眾本文檔的目標(biāo)受眾包括參與風(fēng)險(xiǎn)、信息安全、信息技術(shù)和知識(shí)管理的管理和運(yùn)營(yíng)職能的人員。這包括CISO、CIO、COO以及參與以下職能領(lǐng)域的個(gè)人：安全工程、產(chǎn)品管理、解決方案和應(yīng)用程序架構(gòu)師、自動(dòng)化、DevOps、質(zhì)量保證、信息安全、應(yīng)用程序安全、治理、風(fēng)險(xiǎn)管理和合規(guī)性、人力資源和培訓(xùn)。1.成功的DevSecOps協(xié)作和集成的指導(dǎo)原則DevSecOps是一種將安全性集成到DevOps流程中的方法。這確保了軟件從開發(fā)過(guò)程的一開始就是安全、可靠和高效的。“左移”(ShiftLeft)是一個(gè)經(jīng)常用來(lái)描述這種集成的術(shù)語(yǔ)。要成功實(shí)施DevSecOps,建立協(xié)作、溝通和持續(xù)改進(jìn)的文化非常重要。領(lǐng)導(dǎo)層、產(chǎn)品、項(xiàng)目、開發(fā)人員、安全專業(yè)人員和運(yùn)營(yíng)團(tuán)隊(duì)無(wú)縫協(xié)作，確保業(yè)務(wù)連續(xù)性、IT安全性，并創(chuàng)建和部署安全軟件。以下是為DevSecOps打造有效的跨團(tuán)隊(duì)協(xié)作和集成文化的一些技巧。為了有效，文化轉(zhuǎn)變必須自上而下進(jìn)行。領(lǐng)導(dǎo)層的大力支持將促進(jìn)實(shí)施DevSecOps文化所需的協(xié)作。領(lǐng)導(dǎo)層最終負(fù)責(zé)制定業(yè)務(wù)連續(xù)性目標(biāo)并將其傳達(dá)給組織的其他部門。這反過(guò)來(lái)又會(huì)推動(dòng)組織的資金和努力，以幫助實(shí)現(xiàn)領(lǐng)導(dǎo)層設(shè)定的這些目標(biāo)確保面對(duì)網(wǎng)絡(luò)事件時(shí)業(yè)務(wù)連續(xù)性的規(guī)劃至關(guān)重要，實(shí)施安全第一的架構(gòu)需要多個(gè)團(tuán)隊(duì)之間的協(xié)作，以了解企業(yè)面臨的各種內(nèi)部和外部網(wǎng)絡(luò)威脅，以及這些威脅對(duì)業(yè)務(wù)的影響。一旦充分理解了威脅模型，團(tuán)隊(duì)就需要制定策略，確定如何識(shí)別和保護(hù)組織資產(chǎn)、持續(xù)監(jiān)控和檢測(cè)網(wǎng)絡(luò)威脅，以及在發(fā)現(xiàn)網(wǎng)絡(luò)漏洞時(shí)響應(yīng)和恢復(fù)業(yè)務(wù)資產(chǎn)。使用DevSecOps原則將安全性集成到整個(gè)IT生命周期是保護(hù)和檢測(cè)功能的關(guān)鍵。1.2沒(méi)有孤島DevSecOps的目的是將安全性作為一項(xiàng)共同責(zé)任整合到整個(gè)IT生命周期中。這需要業(yè)務(wù)所有領(lǐng)域之間完全透明，愿意從開發(fā)過(guò)程的一開始就嵌入安全性，并堅(jiān)信安全與質(zhì)量一樣，不是一個(gè)團(tuán)隊(duì)或個(gè)人的唯一職責(zé)，而是由組織的所有部門共同承擔(dān)。領(lǐng)導(dǎo)層應(yīng)努力確保有一個(gè)持續(xù)的安全反饋循環(huán)，并鼓勵(lì)團(tuán)隊(duì)之間公開、頻繁的溝通，努力將安全性完全集成到業(yè)務(wù)流程中。工程、安全和運(yùn)營(yíng)應(yīng)攜手合作，共同擁有DevSecOps流程的成果。獲得最大投資回報(bào)的方法之一是最大程度地實(shí)現(xiàn)安全自動(dòng)化。工程團(tuán)隊(duì)和安全團(tuán)隊(duì)之間的合作是確保這些自動(dòng)化正常運(yùn)行并正確實(shí)施的好方法。1.3自動(dòng)化利用工具在軟件開發(fā)生命周期(SDLC)2中實(shí)現(xiàn)安全優(yōu)先設(shè)計(jì)的自動(dòng)化可以節(jié)省時(shí)間并實(shí)時(shí)提供安全反饋。自動(dòng)化可用于各種與安全相關(guān)的活動(dòng)，例如：資產(chǎn)識(shí)別、持續(xù)安全監(jiān)控、代碼分析、漏洞掃描、滲透測(cè)試、事件響應(yīng)和恢復(fù)以及在簡(jiǎn)化網(wǎng)絡(luò)入侵期間的通信。1.4以人為本的方法由于DevSecOps文化只有在許多不同團(tuán)隊(duì)的充分參與下才能成功，因此必須關(guān)注人員方面。持續(xù)學(xué)習(xí)的文化是確保您的團(tuán)隊(duì)能夠保持DevSecOps技術(shù)和流程前沿的最佳方式。需要?jiǎng)?chuàng)造衡量成功的標(biāo)準(zhǔn)，需要慶祝取得的成就!這應(yīng)該在人員、學(xué)習(xí)以及技術(shù)方面實(shí)施。團(tuán)隊(duì)的學(xué)習(xí)目標(biāo)可以包括培訓(xùn)和認(rèn)證，這些目標(biāo)應(yīng)包含在績(jī)效計(jì)劃和員工評(píng)審中。請(qǐng)記住，您需要為這些學(xué)習(xí)計(jì)劃的實(shí)施提供時(shí)間和激勵(lì)。還應(yīng)該慶祝技術(shù)里程碑，以保持團(tuán)隊(duì)的積極性并確保DevSecOps計(jì)劃步入正軌。技術(shù)成功衡量的一些示例包括交付時(shí)間、部署頻率、可用性以及安全漏洞或攻擊的頻率。1.5組織背景的理解各行各業(yè)的組織都是獨(dú)一無(wú)二的，每個(gè)組織都有其獨(dú)特的文化、結(jié)構(gòu)和特點(diǎn)和運(yùn)行的方法。因此，DevSecOps方法的采用需要根據(jù)每個(gè)組織的具體情況進(jìn)行精心定制。這不僅涉及采用合適的工具，更重要的是培養(yǎng)符合DevSecOps原則的文化。圍繞DevSecOps轉(zhuǎn)型的討論，過(guò)度關(guān)注工具選擇和實(shí)施是很常見的。然而，為了讓組織獲得DevSecOps的真正好處，重點(diǎn)應(yīng)該放在其基本原則上。1.6明確的所有權(quán)和責(zé)任對(duì)于成功的DevSecOps計(jì)劃，需要有明確的利益相關(guān)者RACI(責(zé)任分配矩陣)。對(duì)于每項(xiàng)任務(wù)，需要明確利益相關(guān)者對(duì)誰(shuí)負(fù)責(zé)該任務(wù)，哪些團(tuán)隊(duì)負(fù)責(zé)完成任務(wù)，以及需要咨詢哪些利益相關(guān)者并告知任務(wù)進(jìn)度和完成情況。例如，軟件工程師負(fù)責(zé)處置在其應(yīng)用程序或產(chǎn)品的應(yīng)用層發(fā)現(xiàn)的風(fēng)險(xiǎn)?；A(chǔ)設(shè)施工程師負(fù)責(zé)操作系統(tǒng)層面發(fā)現(xiàn)的風(fēng)險(xiǎn)的處置等。1.7就如何衡量進(jìn)展達(dá)成一致組織需要達(dá)成一致，確定如何衡量質(zhì)量、性能、可用性、安全風(fēng)險(xiǎn)和管控效果。這將有助于使所有相關(guān)方達(dá)到相同的目標(biāo)。就將采用何種方法對(duì)工作優(yōu)先級(jí)排序達(dá)成協(xié)議。組織需要就如何評(píng)估和優(yōu)先考慮風(fēng)險(xiǎn)達(dá)成一致。關(guān)于如何優(yōu)先考慮風(fēng)險(xiǎn)的分歧將不利于組織的合作。1.8將失敗視為機(jī)遇組織必須接受失敗是不可避免的事實(shí)。他們應(yīng)該把這些挫折看作是增長(zhǎng)和提高的寶貴機(jī)會(huì)，而不是消極看待。采用這些原則將為成功的DevSecOps項(xiàng)目創(chuàng)造合適的環(huán)境，幫助組織的安全軟件開發(fā)實(shí)踐成熟，同時(shí)為他們的客戶提供價(jià)值。2.基于角色的安全培訓(xùn)項(xiàng)目的原因和計(jì)劃安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)。每個(gè)組的成員都需要根據(jù)他們的角色進(jìn)行培訓(xùn)。世界是一個(gè)復(fù)雜多樣的地方，人們有各種各樣的能力、技能和態(tài)度。在公司中，這種多樣性通常被用來(lái)創(chuàng)建利用這些不同能力和技能的特定角色。DevSecOps包含了一個(gè)多維度的方法，適用于組織和其產(chǎn)品提供的多個(gè)層次。鑒于個(gè)體在組織中有不同的角色，因此必須不斷提供與他們的特定職責(zé)和職責(zé)相一致的培訓(xùn)。業(yè)務(wù)關(guān)鍵人員C級(jí)高管●了解DevSecOps操作、最關(guān)鍵績(jī)效指標(biāo)(響應(yīng)和修復(fù)平均投資者，創(chuàng)始人和其他業(yè)務(wù)所有者●了解DevSecOps操作，最關(guān)鍵績(jī)效指標(biāo)(響應(yīng)和修復(fù)平均工程經(jīng)理，產(chǎn)品所有者，產(chǎn)品經(jīng)理：●咨詢實(shí)施DevSecOps方法在他們的工作方式和產(chǎn)品生命周●對(duì)整個(gè)組織的DevSecOps計(jì)劃負(fù)責(zé)?！褙?fù)責(zé)定義DevSecOps計(jì)劃目標(biāo)?！袷笵evSecOps計(jì)劃與商業(yè)目標(biāo)和目標(biāo)保持一致。安全副總裁●對(duì)他們相應(yīng)部門的DevSecOps計(jì)劃負(fù)責(zé)?！褙?fù)責(zé)定義DevSecOps實(shí)施功能要求。安全團(tuán)隊(duì)領(lǐng)導(dǎo)●負(fù)責(zé)監(jiān)控DevSecOps過(guò)程并升級(jí)潛在問(wèn)題?！褙?fù)責(zé)定義DevSecOps實(shí)施功能要求。威脅情報(bào))●負(fù)責(zé)將DevSecOps輸入納入他們的運(yùn)●受DevSecOps實(shí)施者咨詢。VP/工程總監(jiān)：●對(duì)DevSecOps流程實(shí)施負(fù)責(zé)?！褡稍兌xDevSecOps實(shí)施功能要求?！褡稍僁evSecOps在各部門的實(shí)施?！褙?fù)責(zé)衡量DevSecOps實(shí)施對(duì)部門生產(chǎn)力的影●咨詢?cè)u(píng)估DevSecOps實(shí)施對(duì)部門生產(chǎn)力的影有者●對(duì)在他們相應(yīng)的應(yīng)用程序中實(shí)施DevSecOps流程負(fù)責(zé)。●咨詢DevSecOps在他們相應(yīng)的應(yīng)用程序中的實(shí)施。●負(fù)責(zé)衡量DevSecOps實(shí)施對(duì)他們相應(yīng)的應(yīng)用程序的影響DevOps工程師和團(tuán)隊(duì)領(lǐng)導(dǎo)●負(fù)責(zé)在開發(fā)和發(fā)布(CI/CD)工作流程中實(shí)施和維護(hù)DevSecOps流程。軟件開發(fā)工程師和團(tuán)隊(duì)領(lǐng)導(dǎo)●負(fù)責(zé)遵循DevSecOps流程?！褡稍僁evSecOps流程實(shí)施和持續(xù)改進(jìn)。ScrumMasters和項(xiàng)目經(jīng)理●負(fù)責(zé)在開發(fā)流程中通知和推廣DevSecOps流程?！褡稍僁evSecOps流程實(shí)施和持續(xù)改進(jìn)?？偙O(jiān)●咨詢定義DevSecOps實(shí)施功能要求?！駥?duì)DevSecOps在QA流程中的實(shí)施負(fù)●咨詢以評(píng)估DevSecOps實(shí)施對(duì)應(yīng)用程序性能的影質(zhì)量保證和團(tuán)隊(duì)領(lǐng)導(dǎo)●對(duì)DevSecOps在QA流程中的實(shí)施負(fù)●咨詢DevSecOps流程實(shí)施和持續(xù)改進(jìn)。2.1安全培訓(xùn)計(jì)劃的實(shí)施在作為路線圖的一部分推出安全計(jì)劃時(shí)，必須記住，很多人可能沒(méi)有足夠的時(shí)間專注于安全。因此，確定您的計(jì)劃目標(biāo)是至關(guān)重要的。例如，該計(jì)劃可以讓產(chǎn)品所有者在新產(chǎn)品功能的發(fā)現(xiàn)階段內(nèi)置威脅建模。一旦這些目標(biāo)到位，建立組織的基線培訓(xùn)就至關(guān)重要。這將使成員熟悉安全和平臺(tái)團(tuán)隊(duì)引入的工具和流程?？梢园l(fā)送定期的電子郵件通信或內(nèi)部新聞簡(jiǎn)訊，介紹影響公司的最新安全趨勢(shì)，以保持組織的更新。預(yù)測(cè)某些團(tuán)隊(duì)成員會(huì)尋求更深入的見解，并主動(dòng)提問(wèn)或提出關(guān)于安全主題的改進(jìn)建議。接受并視每個(gè)查詢都來(lái)自“安全客戶”至關(guān)重要。接受DevSecOps意味著賦予開發(fā)人員安全地發(fā)布他們的工作的能力，而不是阻礙他們。對(duì)于那些希望深入研究的安全愛好者或“冠軍”,可以考慮組成一個(gè)專門的工作小組。使用公司的協(xié)作工具來(lái)促進(jìn)關(guān)于安全相關(guān)主題的頻繁討論，并至少每季度安排定期的內(nèi)部研討會(huì)或聚會(huì)。2.2如何獲得安全培訓(xùn)計(jì)劃的認(rèn)可和支持從多元化的業(yè)務(wù)負(fù)責(zé)人那里獲得支持可能會(huì)很有挑戰(zhàn)性，尤其是在很少有員工有專門時(shí)間處理他們組織內(nèi)部的安全問(wèn)題的情況下。然而，這不應(yīng)該翻譯成獨(dú)立的努力。強(qiáng)調(diào)對(duì)領(lǐng)導(dǎo)層的必要性，即定期解決安全問(wèn)題并與其他技術(shù)債務(wù)一起解決，以防止重大的安全事件發(fā)生。應(yīng)向領(lǐng)導(dǎo)層強(qiáng)調(diào)，網(wǎng)絡(luò)攻擊可能對(duì)組織產(chǎn)生的數(shù)據(jù)丟失，客戶流失，業(yè)務(wù)停機(jī)等影響。為獲得安全培訓(xùn)計(jì)劃的領(lǐng)導(dǎo)批準(zhǔn)，向領(lǐng)導(dǎo)展示安全培訓(xùn)計(jì)劃在減少組織中的網(wǎng)絡(luò)事件方面的影響，這是通過(guò)網(wǎng)絡(luò)意識(shí)的勞動(dòng)力，健全的devsecops計(jì)劃，以及組織應(yīng)對(duì)網(wǎng)絡(luò)攻擊的更好準(zhǔn)備。另一個(gè)挑戰(zhàn)在于保持員工對(duì)安全培訓(xùn)計(jì)劃的參與。一種經(jīng)過(guò)驗(yàn)證的方法是定期舉辦安全會(huì)議，并每月留出30分鐘與每個(gè)安全冠軍進(jìn)行1對(duì)1的互動(dòng)。這些時(shí)刻提供了公開承認(rèn)安全冠軍貢獻(xiàn)的機(jī)會(huì)，并在他們的角色的其他方面提供支持，例如讓他們參與關(guān)鍵的安全決策，例如選擇和實(shí)施新的工具，流程或政策。2.3如何衡量安全培訓(xùn)計(jì)劃的成功衡量培訓(xùn)計(jì)劃成功的一個(gè)直接方法是跟蹤完成安全培訓(xùn)的參與者數(shù)量，以及測(cè)量與新聞簡(jiǎn)訊的互動(dòng)。此外，您可以進(jìn)行現(xiàn)場(chǎng)和線下的安全測(cè)驗(yàn)，桌面演練和模擬培訓(xùn)課程，在這些課程中您可以評(píng)估他們的知識(shí)以及參與者在這種情況下會(huì)如何行動(dòng)或思考。在建立安全活動(dòng)工作小組并培養(yǎng)DevSecOps協(xié)作文化后，您可以引入其他指標(biāo)，例如：·安全冠軍數(shù)量的增長(zhǎng)·工作坊參與度·報(bào)告的安全問(wèn)題數(shù)量·在定義的內(nèi)部服務(wù)等級(jí)協(xié)議內(nèi)解決的安全問(wèn)題數(shù)量·安全事件頻率的變化·補(bǔ)救平均時(shí)間·安全問(wèn)題數(shù)量上升或下降·檢測(cè)安全問(wèn)題的平均時(shí)間·修復(fù)安全問(wèn)題的平均時(shí)間3.交付流水線中的協(xié)作和集成下圖列舉了構(gòu)成端到端軟件開發(fā)生命周期(SDLC)的關(guān)鍵階段。每個(gè)階段都需要利益相關(guān)者之間保持溝通與協(xié)作，以幫助實(shí)現(xiàn)該階段的目標(biāo)。本節(jié)將逐一介紹每個(gè)具體階段，并針對(duì)每個(gè)階段確定參與該階段的關(guān)鍵利益相關(guān)者，以及這些利益相關(guān)者之間為確保成功執(zhí)行所需的必要溝通和協(xié)作。安全開發(fā)生命周期：策略、標(biāo)準(zhǔn)、控制和最佳實(shí)踐，雖然這種視覺效果給人一種從一個(gè)階段到另一個(gè)階段的線性流動(dòng)的印象，但階段之間存在雙向反饋循環(huán)。人員軟件開發(fā)人員性能測(cè)試人員安全測(cè)試人員在他們選擇的工具和上下文中時(shí)反饋用于自動(dòng)測(cè)試安全發(fā)現(xiàn)和緩解措施在他們選擇的工具和上下文中時(shí)反饋圖1:CSADevSecOps交付流水線這個(gè)階段是產(chǎn)品團(tuán)隊(duì)和架構(gòu)師之間的跨團(tuán)隊(duì)協(xié)作，其中包括系統(tǒng)和安全架構(gòu)師、開發(fā)人員和項(xiàng)目團(tuán)隊(duì)。架構(gòu)師和開發(fā)人員合作，將產(chǎn)品團(tuán)隊(duì)開發(fā)的產(chǎn)品愿景和產(chǎn)品需求文檔(PRD)作為輸入，并生成理想的系統(tǒng)高級(jí)設(shè)計(jì)(HLD)。實(shí)現(xiàn)理想的系統(tǒng)高級(jí)設(shè)計(jì)的步驟還應(yīng)包括系統(tǒng)的滲透測(cè)試、紅隊(duì)、藍(lán)隊(duì)和紫隊(duì)練習(xí)的計(jì)劃工作。架構(gòu)師和開發(fā)人員在此階段合作評(píng)估各種設(shè)計(jì)選擇，并提出理想的設(shè)計(jì)來(lái)滿足各種功能和非功能要求。安全架構(gòu)師為系統(tǒng)開發(fā)威脅模型，以了解每種設(shè)計(jì)選擇的威脅向量、攻擊面、安全風(fēng)險(xiǎn)和暴露半徑。安全架構(gòu)師還評(píng)估并考慮重用組織中其他團(tuán)隊(duì)成功使用的現(xiàn)有安全設(shè)計(jì)模式。3.2安全編碼階段在此階段，項(xiàng)目經(jīng)理和開發(fā)人員合作，確保項(xiàng)目包含從安全設(shè)計(jì)和架構(gòu)階段實(shí)現(xiàn)理想架構(gòu)所需的高級(jí)里程碑。開發(fā)團(tuán)隊(duì)使用敏捷開發(fā)方法將這些里程碑分解為史詩(shī)、用戶故事和任務(wù)。每日站會(huì)和項(xiàng)目回顧確保開發(fā)步入正軌并向前推進(jìn)，并且團(tuán)隊(duì)成員保持一致。在代碼開發(fā)過(guò)程中，開發(fā)人員使用安全編碼實(shí)踐、OWASP等安全標(biāo)準(zhǔn)、組織編碼標(biāo)準(zhǔn)和代碼審查流程來(lái)協(xié)作和開發(fā)安全代碼。早期階段的系統(tǒng)高級(jí)設(shè)計(jì)用于開發(fā)身份驗(yàn)證、授權(quán)、審計(jì)以及與構(gòu)建系統(tǒng)、混沌測(cè)試、安全測(cè)試和監(jiān)控工具集成的代碼。3.3持續(xù)構(gòu)建、集成和測(cè)試在此階段，開發(fā)人員、安全測(cè)試人員、質(zhì)量保證測(cè)試人員、運(yùn)營(yíng)和架構(gòu)團(tuán)隊(duì)協(xié)作開發(fā)測(cè)試自動(dòng)化并將其集成到系統(tǒng)Cl流水線中，以便持續(xù)測(cè)試系統(tǒng)的性能、質(zhì)量、可用性、可用性和安全性作為構(gòu)建周期的一部分。開發(fā)團(tuán)隊(duì)使測(cè)試、可擴(kuò)展性和壓力測(cè)試以及滲透測(cè)試的反饋和測(cè)試結(jié)果來(lái)解決代碼和設(shè)計(jì)中的差距。由于這些不同的測(cè)試練習(xí)而在系統(tǒng)設(shè)計(jì)中發(fā)現(xiàn)的任何差距都需要開發(fā)人員和架構(gòu)師在系統(tǒng)高級(jí)設(shè)計(jì)中協(xié)作進(jìn)行設(shè)計(jì)調(diào)整和修改。敏捷用于讓產(chǎn)品和項(xiàng)目團(tuán)隊(duì)隨時(shí)了解所需的任何其他設(shè)計(jì)變更和錯(cuò)誤修復(fù)。3.4持續(xù)交付和部署在此階段，開發(fā)人員和運(yùn)營(yíng)人員協(xié)作為項(xiàng)目開發(fā)持續(xù)部署(CD)流水線，并將其集成到組織使用的持續(xù)部署工具中。團(tuán)隊(duì)共同努力，為系統(tǒng)設(shè)置持續(xù)監(jiān)控和監(jiān)控儀表板，以跟蹤關(guān)鍵績(jī)效指標(biāo)(KPI)和警報(bào)。該團(tuán)隊(duì)還合作開發(fā)項(xiàng)目事件響應(yīng)手冊(cè)，以確保項(xiàng)目與事件響應(yīng)平臺(tái)集成，并制定第2天支持的待命時(shí)間3.5運(yùn)行時(shí)防御和監(jiān)控在這個(gè)階段，開發(fā)人員和運(yùn)營(yíng)團(tuán)隊(duì)協(xié)作，確保系統(tǒng)在第二天的生產(chǎn)中順利運(yùn)行。運(yùn)營(yíng)和開發(fā)團(tuán)隊(duì)始終掌握項(xiàng)目KPI儀表板和安全事件，并共同解決系統(tǒng)警報(bào)和安全事件。運(yùn)營(yíng)團(tuán)隊(duì)通常是事件發(fā)生時(shí)的第一道防線。如果無(wú)法解決問(wèn)題，事件將上報(bào)給開發(fā)團(tuán)隊(duì)。事件發(fā)生后，通常會(huì)有一個(gè)事件的事后分析過(guò)程，架構(gòu)、開發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)聚集在一起，向高層領(lǐng)導(dǎo)簡(jiǎn)要介紹事件的根因分析(RCA)、事件的詳細(xì)信息以及這一事件是否可以避免。然后，此事件的事后處理是否需要修復(fù)系統(tǒng)中的設(shè)計(jì)和編碼差距提供反饋。4.新收購(gòu)項(xiàng)目與DevSecOps交付流水線的集成過(guò)程當(dāng)一家新公司被收購(gòu)時(shí)，安全團(tuán)隊(duì)需要了解其軟件開發(fā)流程。這一點(diǎn)很重要，有兩個(gè)原因：一是衡量其流程的成熟度，二是學(xué)習(xí)如何將其最佳地集成到現(xiàn)有流程中。收購(gòu)方可以采取以下步驟。4.1收購(gòu)后60天內(nèi)1.編制一份所有源代碼管理平臺(tái)(Bitbucket、GitHub、GitLab、Subversion等)的列表。包括這些系統(tǒng)的管理員的名稱。2.列出所有活躍的代碼存儲(chǔ)庫(kù)URL。整理每個(gè)代碼存儲(chǔ)庫(kù)支持的每個(gè)應(yīng)用程序和其他工件。包括像適用于每個(gè)應(yīng)用程序和產(chǎn)品的產(chǎn)品經(jīng)理和工程師負(fù)責(zé)人。3.列出被收購(gòu)組織使用的編程語(yǔ)言及其比例。這有助于識(shí)別控制(掃描、代碼審查等)方面的差距。4.確定使用了哪些工具/流程(如有):·作為代碼掃描的基礎(chǔ)設(shè)施·軟件即服務(wù)風(fēng)險(xiǎn)管理組織中使用的安全工具類型將很好地了解其當(dāng)前DevSecOps的成熟度。5.列出所有云帳戶(AWS、Azure、GCP等)和內(nèi)部部署環(huán)境資源相應(yīng)的所有者，以便與收購(gòu)方的組織共享。6.安置必要的設(shè)備，將所有安全掃描結(jié)果和可用日志作為新的數(shù)據(jù)源添加，發(fā)送到收購(gòu)方機(jī)構(gòu)的安全運(yùn)營(yíng)中心(SOC)。7.與被收購(gòu)方的高管、產(chǎn)品經(jīng)理和軟件工程師討論，從工作優(yōu)先級(jí)的角度來(lái)看，如何處理安全問(wèn)題。是否在每次沖刺中都分配了時(shí)間、金錢和人員來(lái)滿足安全和架構(gòu)現(xiàn)代化要求?根據(jù)上述信息，確定與收購(gòu)方流程和優(yōu)先級(jí)方面的差距。注：現(xiàn)階段，不應(yīng)對(duì)被收購(gòu)方現(xiàn)有的軟件開發(fā)流程進(jìn)行任何變更，除非該現(xiàn)有流程的風(fēng)險(xiǎn)超過(guò)收購(gòu)方的風(fēng)險(xiǎn)偏好。4.2收購(gòu)后180天內(nèi)1.使用DevSecOps成熟度模型來(lái)衡量被收購(gòu)方的各方面。應(yīng)使用與收購(gòu)方相同的模型。流行的DevSecOps成熟度模型如下：·OWASPDevSecOps成熟度模型●云原生計(jì)算基礎(chǔ)成熟度模型●軟件保證成熟度模型2.根據(jù)成熟度模型的結(jié)果來(lái)制定計(jì)劃，納入收購(gòu)方的DevSecOps計(jì)劃并促其達(dá)成。4.3至少每年一次1.評(píng)估并繼續(xù)完善整個(gè)組織的DevSecOps計(jì)劃。每個(gè)團(tuán)隊(duì)都處于不同的成熟度水平，并有獨(dú)特的途徑來(lái)改進(jìn)其DevSecOps實(shí)踐。改變現(xiàn)有的軟件開發(fā)過(guò)程應(yīng)該在每個(gè)團(tuán)隊(duì)的實(shí)際基礎(chǔ)上進(jìn)行探索。2.評(píng)估和報(bào)告不同的DevSecOps成熟度水平(團(tuán)隊(duì)、產(chǎn)品、部門等)。5.DevSecOps案例研究本節(jié)快速概述了一些不同規(guī)模、處于業(yè)務(wù)生命周期不同階段的組織的真實(shí)案列，這些組織成功地實(shí)施了DevSecOps,作為其數(shù)字化轉(zhuǎn)型之旅的一部分，以及支撐其DevSecOps實(shí)施的關(guān)鍵方面。CapitalOne開始了DevSecOps轉(zhuǎn)型之旅，以增強(qiáng)安全性、簡(jiǎn)化流程并加快軟件交付。以下是他們?nèi)绾螌?shí)現(xiàn)DevSecOps的概述。文化轉(zhuǎn)型：CapitalOne專注于在開發(fā)、運(yùn)營(yíng)和安全團(tuán)隊(duì)之間建立協(xié)作和分擔(dān)責(zé)任的文化。他們培養(yǎng)了開放的溝通渠道，鼓勵(lì)跨職能合作，以打破孤島，促進(jìn)責(zé)任共擔(dān)。自動(dòng)化安全控制：CapitalOne在整個(gè)開發(fā)流水線中實(shí)現(xiàn)了自動(dòng)化安全控制。他們將靜態(tài)應(yīng)用程序安全測(cè)試(SAST)和動(dòng)態(tài)應(yīng)用程序安全檢測(cè)(DAST)等安全掃描工具集成到其持續(xù)集成和部署過(guò)程中。這有助于在早期階段識(shí)別和解決安全漏洞。持續(xù)合規(guī)：CapitalOne通過(guò)自動(dòng)化合規(guī)檢查并將其納入其Cl/CD流水線，強(qiáng)調(diào)持續(xù)合規(guī)。他們利用配置管理工具和政策執(zhí)行機(jī)制來(lái)確保遵守行業(yè)法規(guī)和內(nèi)部安全標(biāo)準(zhǔn)。威脅建模與風(fēng)險(xiǎn)評(píng)估：CapitalOne進(jìn)行了全面的威脅建模和風(fēng)險(xiǎn)評(píng)估，以確定其遺留組件中的潛在安全風(fēng)險(xiǎn)。他們分析了攻擊表面，識(shí)別了漏洞，并實(shí)施了適當(dāng)?shù)陌踩胧杂行Ы档惋L(fēng)險(xiǎn)。傳統(tǒng)組件現(xiàn)代化：CapitalOne通過(guò)將其分解為更小、更易于管理的單元，逐步實(shí)現(xiàn)其傳統(tǒng)組件的現(xiàn)代化。他們采用了微服務(wù)架構(gòu)和容器化，以提高可擴(kuò)展性、可維護(hù)性和安全性。這使他們能夠有效地將DevSecOps實(shí)踐應(yīng)用于現(xiàn)代化的組件。安全自動(dòng)化和編排：CapitalOne利用安全自動(dòng)化和編制工具來(lái)簡(jiǎn)化安全流程和響應(yīng)。他們實(shí)施了安全事件和事件管理(SIEM)系統(tǒng)、安全編排與自動(dòng)化響應(yīng) (SOAR)平臺(tái)以及高級(jí)威脅檢測(cè)機(jī)制，以增強(qiáng)其安全操作5.2風(fēng)險(xiǎn)偏好較高，規(guī)模快速發(fā)展的企業(yè)DevSecOps實(shí)踐，以確保其應(yīng)用程序和基礎(chǔ)設(shè)施的安全，同時(shí)保持高度靈活性和快速部署周期。以下是Netflix如何實(shí)現(xiàn)DevSecOps的概述。擁抱DevOps文化：Netflix培養(yǎng)了開發(fā)、運(yùn)營(yíng)和安全團(tuán)隊(duì)之間的協(xié)作和共享責(zé)任的文化。他們鼓勵(lì)在整個(gè)軟件開發(fā)生命周期中跨團(tuán)隊(duì)協(xié)同工作。自動(dòng)化安全流程：Netflix自動(dòng)化安全流程，將安全檢查和控制集成到其持續(xù)集成和持續(xù)部署(CI/CD)流水線中。他們實(shí)施了一系列自動(dòng)化安全工具和掃描儀，以便在開發(fā)過(guò)程的早期識(shí)別漏洞和配置問(wèn)題。持續(xù)安全測(cè)試：Netflix在整個(gè)開發(fā)生命周期中執(zhí)行持續(xù)安全測(cè)試，包括靜態(tài)應(yīng)用程序安全測(cè)試(SAST)、動(dòng)態(tài)應(yīng)用程序安全檢測(cè)(DAST)和軟件組成分析(SCA)。這使他們能夠快速檢測(cè)和解決安全問(wèn)題?；A(chǔ)設(shè)施即代碼(laC):Netflix使用基礎(chǔ)設(shè)施即代碼原則來(lái)管理其云基礎(chǔ)設(shè)施。他們使用了AWSCloudFormation和Netflix的開源工具Spinnaker等工具來(lái)安全地自動(dòng)化基礎(chǔ)設(shè)施資源的供應(yīng)和配置。安全監(jiān)控和事件響應(yīng)：Netflix部署了強(qiáng)大的安全監(jiān)控系統(tǒng)，用于實(shí)時(shí)檢測(cè)和響應(yīng)安全事件。他們結(jié)合使用安全信息和事件管理(SIEM)工具、日志分析和威脅情報(bào)，及時(shí)識(shí)別和緩解安全事件。協(xié)作和知識(shí)共享：Netflix強(qiáng)調(diào)團(tuán)隊(duì)之間的協(xié)作和知識(shí)分享。他們定期舉辦安全培訓(xùn)課程，組織黑客馬拉松，并鼓勵(lì)公開討論，以提高整個(gè)組織的安全意識(shí)和做法。5.3成長(zhǎng)為規(guī)?；髽I(yè)的私人高成長(zhǎng)型創(chuàng)業(yè)公司一個(gè)初創(chuàng)公司成長(zhǎng)為可擴(kuò)展DevSecOps實(shí)現(xiàn)的例子是特殊商品市場(chǎng)Catawiki。他們采用DevSecOps實(shí)踐，以確保其市場(chǎng)和微服務(wù)的安全，而不妨礙其部署狀態(tài)和平臺(tái)可用性。以下是Catawiki如何實(shí)現(xiàn)DevSecOps的概述。擁抱開發(fā)人員和安全性之間的合作：Catawiki的DevSecOps第一個(gè)里程碑是打破了“你負(fù)責(zé)安全，我負(fù)責(zé)編碼”的心態(tài)。作為這一過(guò)程的一部分，安全部門的作用從質(zhì)量的把關(guān)者演變?yōu)樵谡麄€(gè)軟件開發(fā)生命周期中提供持續(xù)反饋和輸入的推動(dòng)者。這種新方法促進(jìn)了安全、開發(fā)和基礎(chǔ)設(shè)施團(tuán)隊(duì)之間的信任和更密切的合作。標(biāo)準(zhǔn)化組件：考慮到開發(fā)團(tuán)隊(duì)的成熟度和技能水平各不相同，Catawiki認(rèn)識(shí)到創(chuàng)建一個(gè)所有人都可以依賴的共同基礎(chǔ)的重要性，并提出改進(jìn)建議。他們建立了標(biāo)準(zhǔn)框架、模板和基礎(chǔ)設(shè)施即代碼(laC)工作流程，從而可以輕松實(shí)現(xiàn)安全性。內(nèi)置安全：Catawiki自動(dòng)化安全流程，將安全監(jiān)控集成到其持續(xù)集成和部署(CI/CD)流水線中。他們明智地選擇了與現(xiàn)有框架和技術(shù)兼容的自動(dòng)化安全工具，保持與當(dāng)前的工作方法一致，防止技術(shù)分散。實(shí)施持續(xù)評(píng)估和單一窗口可見性：為了在整個(gè)軟件開發(fā)生命周期(SDLC)中最大限度地采用安全技術(shù)，Catawiki優(yōu)先考慮向開發(fā)人員可以提供安全工具和報(bào)告。他們還開發(fā)了簡(jiǎn)單的流程，以簡(jiǎn)化工具的采用，并從開發(fā)人員的角度實(shí)現(xiàn)價(jià)值最大化。實(shí)施漏洞獎(jiǎng)勵(lì)計(jì)劃并鼓勵(lì)負(fù)責(zé)任的披露：Catawiki認(rèn)識(shí)到安全性只有從外部角度才能進(jìn)行真正的驗(yàn)證，因此定期邀請(qǐng)獨(dú)立的安全研究人員檢查他們的平臺(tái)。安全和開發(fā)團(tuán)隊(duì)根據(jù)通用漏洞評(píng)分系統(tǒng)(CVSS)和內(nèi)部服務(wù)水平協(xié)議(SLA),根據(jù)漏洞和補(bǔ)丁管理政策，共同確認(rèn)解決漏洞的優(yōu)先級(jí)。游戲化漏洞管理：除了強(qiáng)制執(zhí)行內(nèi)部SLA外，Catawiki還通過(guò)游戲化服務(wù)安全評(píng)分來(lái)激勵(lì)非安全員工修復(fù)漏洞。他們?yōu)榻鉀Q漏洞而獎(jiǎng)勵(lì)團(tuán)隊(duì)積分和獎(jiǎng)勵(lì)。還通過(guò)額外的培訓(xùn)和研討會(huì)加深對(duì)安全的理解。5.4初創(chuàng)銀行擁抱DevSecOps盡管許多銀行仍在使用過(guò)時(shí)的傳統(tǒng)技術(shù)，但受益于云原生系統(tǒng)具有更安全和性能的優(yōu)勢(shì)，銀行業(yè)正在發(fā)生變化。在這種演變中，初創(chuàng)公司10xFutureTechnologies正逐漸嶄露頭角。他們率先開發(fā)了專為大型銀行設(shè)計(jì)的云原生銀行平臺(tái)，有效解決了傳統(tǒng)系統(tǒng)帶來(lái)的成本和安全挑戰(zhàn)。以下是10xFutureTechnologies如何將DevSecOps融入其整體戰(zhàn)略的概述。通過(guò)使用工具集，促進(jìn)安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)之間的合作：在10x,通過(guò)讓每個(gè)人都能訪問(wèn)，用于跟蹤工具發(fā)現(xiàn)漏洞的實(shí)時(shí)儀表板，促進(jìn)安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)之間的合作。這些工具集可以對(duì)存在的漏洞發(fā)出警報(bào)，確保對(duì)所有團(tuán)隊(duì)成員的透明度和可訪問(wèn)性。透明度是一種重要機(jī)制，可確保每個(gè)團(tuán)隊(duì)都了解自己作為團(tuán)隊(duì)成員在交付安全的軟件中扮演的角色。安全責(zé)任共擔(dān)：在開發(fā)云原生銀行平臺(tái)的過(guò)程中，該組織采用的溝通策略非常重要，以加強(qiáng)對(duì)安全的實(shí)踐。通過(guò)提高透明度、促進(jìn)高效溝通、推動(dòng)日常任務(wù)中的團(tuán)隊(duì)合作以及積極實(shí)施安全措施，10x將安全整合為所有團(tuán)隊(duì)成員的共同責(zé)任。實(shí)施漏洞安全持續(xù)審查流程：合作不再僅僅局限于現(xiàn)有漏洞。10x通過(guò)召開由整個(gè)組織不同團(tuán)隊(duì)的代表參加的每日站會(huì)，確保在持續(xù)解決安全問(wèn)題時(shí)考慮到廣泛的觀點(diǎn)。所有團(tuán)隊(duì)在每日站會(huì)上對(duì)漏洞進(jìn)行審查，是確保組織做好準(zhǔn)備應(yīng)對(duì)不斷變化的威脅環(huán)境的關(guān)鍵策略。在組織文化中植入安全觀念：溝通大大提高了團(tuán)隊(duì)的效率，并且團(tuán)隊(duì)之間開放的溝通渠道也有助于將安全融入到組織文化。這種方法進(jìn)一步強(qiáng)化了安全軟件的集體責(zé)任觀念，確保將其融入組織的內(nèi)在精神。通過(guò)這種寶貴的方法，在10x公司培養(yǎng)了內(nèi)部不同角色之間更多的共鳴和理解。通過(guò)對(duì)人員、流程和技術(shù)三大支柱的專注，10x能夠圍繞軟件交付建立起的安全文化實(shí)施獨(dú)特實(shí)踐。10x展示了這三大支柱如何以合作的方式，共同確保交付高效、可靠和安全的軟件。6.DevSecOps和其他技術(shù)實(shí)踐融合的本章將簡(jiǎn)要概述本文中闡述的一些原則和與其他技術(shù)實(shí)踐的交互流程，以及DevSecOps與這些技術(shù)實(shí)踐之間如何協(xié)作以實(shí)現(xiàn)更好的安全成果。本節(jié)將介紹的技術(shù)實(shí)踐包括零信任、AlOps和MLSecOps以及數(shù)據(jù)網(wǎng)格。DevSecOps是一種將安全實(shí)踐融入DevOps流水線的方法，強(qiáng)調(diào)安全是開發(fā)、運(yùn)營(yíng)和安全團(tuán)隊(duì)的共同責(zé)任。其主要原則包括自動(dòng)化、協(xié)同工作、持續(xù)集成、持續(xù)交付(Cl/CD)和反饋循環(huán)。6.1.2零信任概述零信任是一種安全戰(zhàn)略。它假定無(wú)論是在組織網(wǎng)絡(luò)內(nèi)部還是外部的任何實(shí)體，都不應(yīng)被默認(rèn)信任。無(wú)論其位于何處，每個(gè)試圖訪問(wèn)資源的用戶、設(shè)備和應(yīng)用程序的身份和可信度都需要驗(yàn)證。零信任的關(guān)鍵原則包括身份識(shí)別與訪問(wèn)管理、微隔離和持續(xù)監(jiān)控。DevSecOps與零信任的交集。DevSecOps和零信任的交集成為整個(gè)軟件開發(fā)生命周期的安全基礎(chǔ)要6.1.3安全設(shè)計(jì)和架構(gòu)在安全設(shè)計(jì)和架構(gòu)階段，零信任團(tuán)隊(duì)和DevSecOps團(tuán)隊(duì)之間的合作至關(guān)重要。零信任提倡"絕不信任，始終驗(yàn)證"的原則。它鼓勵(lì)設(shè)計(jì)不信任任何實(shí)體(包括組織內(nèi)的實(shí)體)的網(wǎng)絡(luò)和應(yīng)用架構(gòu)。這意味著從一開始就進(jìn)行微隔離、嚴(yán)格的訪問(wèn)控制和用戶身份驗(yàn)證。零信任團(tuán)隊(duì)可以指導(dǎo)如何實(shí)施有效的微隔離控制，而DevSecOps可以確保將這些控制集成到架構(gòu)中。這種協(xié)同工作可確保設(shè)計(jì)既安全又符合零信任的"絕不信任，始終驗(yàn)證"理念。以微隔離為例：●零信任架構(gòu)師：指導(dǎo)DevSecOps工程師為新的云應(yīng)用程序設(shè)計(jì)微隔離控制。這種指導(dǎo)可能包括定義微隔離、確定需要微隔離的應(yīng)用程序和服務(wù)，以及推薦微隔離工具和技術(shù)?！evSecOps工程師：與開發(fā)團(tuán)隊(duì)合作，將微隔離控制集成到應(yīng)用程序架構(gòu)中。這可能涉及配置基于云的安全工具、開發(fā)自定義微隔離解決方案以及測(cè)試和驗(yàn)證微隔離控制措施。6.1.4安全編碼在安全編碼階段，零信任團(tuán)隊(duì)和DevSecOps團(tuán)隊(duì)之間的合作至關(guān)重要。零信任強(qiáng)調(diào)需要驗(yàn)證和確認(rèn)用戶和應(yīng)用程序的身份，這與DevSecOps對(duì)安全編碼實(shí)踐的關(guān)注是一致的。DevSecOps團(tuán)隊(duì)?wèi)?yīng)與零信任團(tuán)隊(duì)合作，定義并執(zhí)行基于身份的安全策略，確保只有經(jīng)過(guò)身份驗(yàn)證并獲得授權(quán)的實(shí)體才能訪問(wèn)代碼。這種協(xié)作方法可確保將安全編碼實(shí)踐和身份驗(yàn)證無(wú)縫的集成到開發(fā)流程中。以用戶身份和應(yīng)用程序?yàn)槔阈湃渭軜?gòu)師：指導(dǎo)DevSecOps工程師定義和執(zhí)行基于身份的代碼安全策略。該指導(dǎo)可能包括定義用戶訪問(wèn)代碼所需的角色和權(quán)限，確定需要訪問(wèn)代碼的應(yīng)用程序和服務(wù)，以及推薦的身份驗(yàn)證與訪問(wèn)控制技術(shù)。DevSecOps工程師：與開發(fā)團(tuán)隊(duì)合作，實(shí)施基于身份的代碼安全策略。這可能涉及配置源代碼控制系統(tǒng)以執(zhí)行基于身份的訪問(wèn)控制，與身份管理系統(tǒng)集成以驗(yàn)證用戶和應(yīng)用程序的身份，以及使用代碼分析工具識(shí)別和修復(fù)與身份驗(yàn)證與訪問(wèn)控制相關(guān)的安全漏洞。在持續(xù)構(gòu)建、集成和測(cè)試階段，零信任團(tuán)隊(duì)和DevSecOps團(tuán)隊(duì)之間的協(xié)作對(duì)于持續(xù)的身份驗(yàn)證與訪問(wèn)控制至關(guān)重要。零信任對(duì)持續(xù)驗(yàn)證與DevSecOps對(duì)使用自動(dòng)化安全測(cè)試工具的重視程度是一致的。當(dāng)DevSecOps則將持續(xù)驗(yàn)證用戶和應(yīng)用程序身份集成到CI/CD流水線中時(shí)，零信任團(tuán)隊(duì)可以指導(dǎo)如何驗(yàn)證這些原則。協(xié)作可確保針對(duì)每個(gè)請(qǐng)求的訪問(wèn)控制重新評(píng)估，并使自動(dòng)化安全測(cè)試工具與持續(xù)驗(yàn)證的零信任模型保持一致。零信任架構(gòu)師：指導(dǎo)DevSecOps工程師定義和執(zhí)行基于身份的代碼安全策略。這種指導(dǎo)可能包括定義用戶訪問(wèn)代碼所需的角色和權(quán)限，確定需要能夠訪問(wèn)代碼的應(yīng)用程序和服務(wù)，以及推薦身份驗(yàn)證和訪問(wèn)控制技術(shù)。DevSecOps工程師：與開發(fā)團(tuán)隊(duì)合作，實(shí)施基于身份的代碼安全策略。這可能涉及配置源代碼控制系統(tǒng)以執(zhí)行基于身份的訪問(wèn)控制，與身份管理系統(tǒng)集成以驗(yàn)證用戶和應(yīng)用程序的身份，以及使用代碼分析工具識(shí)別和修復(fù)與身份和訪問(wèn)控制相關(guān)的安全漏洞。6.1.6持續(xù)交付和部署在持續(xù)交付和部署階段，零信任團(tuán)隊(duì)與DevSecOps團(tuán)隊(duì)之間的協(xié)作可確保對(duì)部署資源的訪問(wèn)受到嚴(yán)格控制，并且只允許訪問(wèn)必要的資源。零信任對(duì)訪問(wèn)控制和身份驗(yàn)證的重視與DevSecOps對(duì)安全檢查和自動(dòng)響應(yīng)的使用是一致的。零信任團(tuán)隊(duì)可以指導(dǎo)訪問(wèn)控制策略的實(shí)施，而DevSecOps則將其集成到部署流水線中。協(xié)作可確保對(duì)每個(gè)訪問(wèn)請(qǐng)求的可信度進(jìn)行驗(yàn)證，并對(duì)可疑行為觸發(fā)自動(dòng)響應(yīng)。零信任架構(gòu)師：指導(dǎo)DevSecOps工程師在Cl/CD流水線中實(shí)施持續(xù)身份驗(yàn)證和訪問(wèn)控制。這種指導(dǎo)可能包括驗(yàn)證用戶和應(yīng)用程序身份的推薦方法，確定可用于持續(xù)身份驗(yàn)證與訪問(wèn)控制的實(shí)施工具和技術(shù)，以及將持續(xù)身份驗(yàn)證與訪問(wèn)控制集成到Cl/CD流水線中的指導(dǎo)：與開發(fā)團(tuán)隊(duì)合作，在CI/CD流水線中實(shí)施持續(xù)身份驗(yàn)證與訪問(wèn)控制。這可能涉及配置Cl/CD工具用于執(zhí)行身份驗(yàn)證，與身份管理系統(tǒng)集成以驗(yàn)證用戶和應(yīng)用程序的身份，以及使用自動(dòng)安全測(cè)試工具識(shí)別和修復(fù)與身份和訪問(wèn)控制相關(guān)的安全漏洞。6.1.7運(yùn)行時(shí)防御和監(jiān)視零信任團(tuán)隊(duì)和DevSecOps團(tuán)隊(duì)之間的合作對(duì)于運(yùn)行防御和監(jiān)控階段的持續(xù)監(jiān)控和行為分析至關(guān)重要。零信任原則與DevSecOps對(duì)持續(xù)監(jiān)控和實(shí)時(shí)反饋的關(guān)注是一致的。零信任團(tuán)隊(duì)可以為實(shí)施網(wǎng)絡(luò)分段、微隔離和行為監(jiān)控提供見解，而DevSecOps則確保這些措施得到有效維護(hù)。這種協(xié)作可確保任何可疑行為都會(huì)觸發(fā)調(diào)查和自動(dòng)響應(yīng)，從而與持續(xù)監(jiān)控原則和零信任的主動(dòng)防御保持一致。零信任架構(gòu)師：指導(dǎo)DevSecOps工程師為部署的應(yīng)用程序?qū)崿F(xiàn)持續(xù)監(jiān)控和行為分析。該指導(dǎo)可能包括用于持續(xù)監(jiān)控和行為分析所推薦的工具和技術(shù)，提供關(guān)于配置持續(xù)監(jiān)控和行為分析工具用于檢測(cè)可疑活動(dòng)的指導(dǎo)，并幫助定義響應(yīng)可疑活動(dòng)的策略活動(dòng)。DevSecOps工程師：與運(yùn)維團(tuán)隊(duì)合作，對(duì)部署的應(yīng)用程序?qū)嵤┏掷m(xù)監(jiān)控和行為分析。這可能涉及配置監(jiān)控工具以收集有關(guān)應(yīng)用程序活動(dòng)的數(shù)據(jù)，部署安全工具以檢測(cè)所收集數(shù)據(jù)中的可疑活動(dòng)，以及與安全編排自動(dòng)化與響應(yīng)(SOAR)工具集成，以自動(dòng)響應(yīng)可疑活動(dòng)。6.1.8DevSecOps和零信任總結(jié)當(dāng)考慮到軟件開發(fā)生命周期的各個(gè)階段時(shí)，DevSecOps和零信任的交叉點(diǎn)尤其強(qiáng)大。DevSecOps將安全融入到軟件開發(fā)的每個(gè)階段，而零信任強(qiáng)調(diào)了即使在日益動(dòng)態(tài)和分散的環(huán)境中也需要不斷驗(yàn)證和核實(shí)訪問(wèn)。它們共同創(chuàng)建了一個(gè)整體而強(qiáng)大的安全框架，從設(shè)計(jì)到部署和運(yùn)行時(shí)防御，為應(yīng)用程序和基礎(chǔ)架構(gòu)提供保護(hù)。MLOps是成熟DevOps模式中的一個(gè)演進(jìn)分支，對(duì)于充分發(fā)揮機(jī)器學(xué)習(xí)模型的潛力非常重要。MLOps在優(yōu)化的環(huán)境中協(xié)調(diào)運(yùn)行過(guò)程，包括良好的基礎(chǔ)設(shè)施配置、充分的模型開發(fā)、自動(dòng)部署和持續(xù)的性能監(jiān)控，從而確保機(jī)器學(xué)習(xí)模型的效率和有效性。與此同時(shí)，MLSecOps還將安全措施和隱私因素納入工作流程，確保數(shù)據(jù)安全、已部署模型的保護(hù)以及底層基礎(chǔ)設(shè)施免受各種威脅。AlOps一詞來(lái)源于Gartner。AlOps是人工智能功能的應(yīng)用，旨在提高運(yùn)營(yíng)工作流程的效率。AlOps利用大數(shù)據(jù)和機(jī)器學(xué)習(xí)來(lái)：1.收集由基礎(chǔ)設(shè)施、應(yīng)用程序和服務(wù)生成的大量數(shù)據(jù)2.對(duì)數(shù)據(jù)應(yīng)用各種轉(zhuǎn)換以提取特征3.訓(xùn)練機(jī)器學(xué)習(xí)模型，建立行為基線4.應(yīng)用機(jī)器學(xué)習(xí)模型生成信號(hào)5.使用機(jī)器學(xué)習(xí)、符號(hào)AI、基于AI的規(guī)劃和本體推理來(lái)關(guān)聯(lián)信號(hào)。6.應(yīng)用機(jī)器學(xué)習(xí)模型來(lái)關(guān)聯(lián)這些信號(hào)和根本原因分析(RCA)。MLSecOps和MLOps的整合意味著向構(gòu)建熟練且安全可靠的機(jī)器學(xué)習(xí)系統(tǒng)邁出了一大步。雖然DevSecOps的原則已被證明可以適應(yīng)和轉(zhuǎn)移到AlOps和MLSecOps等新興領(lǐng)域，但在其實(shí)施過(guò)程中還存在一些細(xì)微差別，需要做進(jìn)一步的探討：在本文中，我們將考慮如何將DevSecOps與AIOps相結(jié)合，以提高IT運(yùn)營(yíng)的效率、安全性和可靠性，并在稍后重點(diǎn)介紹MLSecOps如何實(shí)施控制和保障措施。6.3融合DevSecOps和AlOps潛在威脅檢測(cè)和預(yù)防：AlOps擅長(zhǎng)篩選大量數(shù)據(jù)流和安全事件。這可確保迅速發(fā)現(xiàn)異常模式和潛在威脅。通過(guò)應(yīng)用機(jī)器學(xué)習(xí)算法，AlOps可以準(zhǔn)確定位異常行為、安全漏洞并預(yù)見風(fēng)險(xiǎn)，從而在潛在安全事件破壞生產(chǎn)環(huán)境之前采取積極措施加以緩解。智能安全監(jiān)控：AlOps的功能擴(kuò)展到監(jiān)控和分析與安全相關(guān)的事件、日志和網(wǎng)絡(luò)流量。人工智能驅(qū)動(dòng)的異常檢測(cè)和入侵檢測(cè)大大縮短了安全團(tuán)隊(duì)從檢測(cè)到采取必要行動(dòng)之間的滯后時(shí)間。風(fēng)險(xiǎn)緩解預(yù)測(cè)分析：通過(guò)分析以往的安全事件和威脅情報(bào)，AlOps可以洞察未來(lái)的潛在風(fēng)險(xiǎn)。這為DevSecOps團(tuán)隊(duì)提供了必要信息，幫助他們確定任務(wù)的優(yōu)先級(jí)、有效分配資源并主動(dòng)修復(fù)漏洞，從而降低安全漏洞發(fā)生的概率。安全流程自動(dòng)化：AlOps將其自動(dòng)化功能擴(kuò)展到DevSecOps流水線中的安全流程。漏洞掃描、安全測(cè)試、合規(guī)性檢查和配置管理等任務(wù)都可以通過(guò)AlOps實(shí)現(xiàn)自動(dòng)化。強(qiáng)化事件響應(yīng)和補(bǔ)救：如果不幸發(fā)生安全事件，AlOps可促進(jìn)事件響應(yīng)和補(bǔ)救。Al可生成安全事件摘要，從而簡(jiǎn)化安全分析師的切入時(shí)間，實(shí)時(shí)分析安全事件、事件相關(guān)性，并生成可操作的見解，為安全團(tuán)隊(duì)的響應(yīng)工作提供指導(dǎo)。6.4辨別MLSecOps的差異因素雖然基礎(chǔ)是一致的，但機(jī)器學(xué)習(xí)的獨(dú)特性質(zhì)帶來(lái)了特定的挑戰(zhàn)，需要量身定制的安全措施。以下是MLSecOps與DevSecOps不同的五個(gè)關(guān)鍵領(lǐng)域。模型證明(ModelProvenance):模型證明(ModelProvenance)提供全面的模型歷史記錄，涵蓋開發(fā)、部署和使用過(guò)程。這些數(shù)據(jù)通過(guò)跟蹤對(duì)模型的修改，包括貢獻(xiàn)者、方法、時(shí)間和理由，有助于找出潛在的漏洞。在人工智能法規(guī)不斷發(fā)展的背景下，模型證明(ModelProvenance)在評(píng)估過(guò)程中展示合規(guī)性方面的作用日益突出。通過(guò)揭示機(jī)器學(xué)習(xí)模型的開發(fā)、部署和使用過(guò)程，模型證明帶來(lái)了透明度和責(zé)任感。這促進(jìn)了負(fù)責(zé)任的數(shù)據(jù)使用，并在不斷升級(jí)的網(wǎng)絡(luò)威脅中保持模型的可信度。治理、風(fēng)險(xiǎn)與合規(guī)：機(jī)器學(xué)習(xí)材料清單(MLBoM)作為增強(qiáng)風(fēng)險(xiǎn)、治理和合規(guī)性的一種方法，受到了廣泛重視。該框架可應(yīng)對(duì)MLSecOps中的挑戰(zhàn)，包括GRC和供應(yīng)鏈漏洞，并提供機(jī)器學(xué)習(xí)模型開發(fā)材料的詳盡清單，如算法、數(shù)據(jù)集和框架。它有助于發(fā)現(xiàn)供應(yīng)鏈中可能危及模型完