©2023云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2DeveSecOps工作组的官方网址是: https://cloudsecurityalliance.org/research/working-groups/devsecops/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a) 本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下 合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 《DevSecOps-支柱4建立合规与发展的桥梁(DevSecOps-Pillar4BridgingComplianceand Development)》由CSA工作组专家编写,CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组(排名不分先后): 组长:李岩 翻译组: 车洵 何国锋 何伊圣 贺志生 黄鹏华 江楠 苏泰泉 余晓光 审校组: 何国锋 江楠 李岩 研究协调员: 卜宋博 感谢以下单位的支持与贡献: 中国电信股份有限公司研究院 华为技术有限公司 腾讯云计算(北京)有限责任公司 ©2023云安全联盟大中华区版权所有 5英文版本编写专家 主要作者: SouheilMoghnie TheodoreNiedzialkowski SamSehgal 贡献者: MichaelRoza CSA分析师: SeanHeide 特别感谢: AnkurGargi RajHanda ManuelIfland JohnMartin KamranSadique CharanjeetSingh AltazValani 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联 系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6 序言 DevSecOps是基于DevOps的安全敏捷化的一场变革,DevSecOps的出现也改变了安全 解决方案及安全合规的新思维。CSA针对DevSecOps提出了六大支柱,分别为集体责任、培 训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等 内容。 理想模式下DevSecOps世界中的合规意味着客户能够管理偏离安全基线的情况,并通过 实时数据的自我修复功能。DevSecOps在实现速度和安全优先的同时,实现具有更加高效、 更安全的持续交付。在DevOps名著《DevOpsHandBook》中就指出测量对DevOps实践合规 性的重要性。 本白皮书以合规与发展为核心,提出在DevSecOps模式中的合规性目标是提高应用程序 及环境的整体安全性,同时减少风险,以安全目标来验证持续交付。 DevSecOps也是CSA高级云安全专家课程(CSAACSE)的核心内容,DevSecOps是践行 共享安全责任的文化表现,实现满足企业对监管或行业合规标准的管理要求。尤其是很多企 业通过了ISO/IEC27001、CSAStar等认证。通过学习CSADevSecOps合规与发展,帮助企业 提升数字化合规的能力,实现基于风险的安全合规的新方案。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录 致谢............................................................................................................................................3 序言............................................................................................................................................6 前言............................................................................................................................................8 1简介.........................................................................................................................................9 1.1目标............................................................................................................................10 1.2读者群体....................................................................................................................10 2评估.......................................................................................................................................11 2.1与云服务提供商的共担责任...................................................................................11 2.2即时评估和持续评估................................................................................................13 3心态.......................................................................................................................................15 3.1使用价值流映射的合规性........................................................................................15 3.2合规目标转化为安全措施........................................................................................18 4.工具.......................................................................................................................................22 4.1拥抱即代码as-Code模型.........................................................................................22 4.2拥抱DevSecOps方法进行测试................................................................................24 4.3追踪开源风险............................................................................................................27 4.4安全护栏....................................................................................................................29 4.5模式和模板...............................................................................................................33 5.总结.......................................................................................................................................35 参考文献........................................................................

.pdf文档 CSA DevSecOps-支柱4-建立合规与发展的桥梁

文档预览
中文文档 42 页 50 下载 1000 浏览 0 评论 309 收藏 3.0分
温馨提示:本文档共42页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
CSA DevSecOps-支柱4-建立合规与发展的桥梁 第 1 页 CSA DevSecOps-支柱4-建立合规与发展的桥梁 第 2 页 CSA DevSecOps-支柱4-建立合规与发展的桥梁 第 3 页
下载文档到电脑,方便使用
本文档由 思考人生 于 2023-11-25 06:12:16上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。