DevSecOps支柱協(xié)作與集成分析報(bào)告-培訓(xùn)課件

目

錄致謝.....................................................................................................................................序言..............................................................................................................................前言......................................................................................................................引言..............................................................................................................目標(biāo)......................................................................................................受眾..............................................................................................1．成功的

DevSecOps

協(xié)作和集成的指導(dǎo)原則

.......1.1

領(lǐng)導(dǎo)層主動(dòng)和有效的溝通

.............1.2

沒有孤島

.......................1.3

自動(dòng)化

.....................1.4

以人為本的方法

.........1.5

組織背景的理解

......3...131.6

明確的所有權(quán)和責(zé)1.7

就如何衡量進(jìn)......131.8

將失敗視2．基于角色的2.1..........13..............

14..................16......................17..........................17.............................

18.................................19.....................................20.........................................20.............................................20.................................................21交付流水線的集成過程

...............................

21........................................................21天內(nèi)

.......................................................23年一次

.........................................................23Ops

案例研究

........................................................24.1

擁有傳統(tǒng)組件的大型老牌公司

...........................................245.2

風(fēng)險(xiǎn)偏好較高，規(guī)?？焖侔l(fā)展的企業(yè)

.....................................25?

202565.3

成長為規(guī)模化企業(yè)的私人高成長型創(chuàng)業(yè)公司

...............................255.4

初創(chuàng)銀行擁抱

DevSecOps

..............................................6．DevSecOps

和其他技術(shù)實(shí)踐融合的實(shí)踐

..................................6.1

DevSecOps

和零信任

.........................................6.1.1

DevSecOps

概述

.....................................6.1.2

零信任概述

......................................6.1.3

安全設(shè)計(jì)和架構(gòu)

..............................6.1.4

安全編碼

................................6.1.5

持續(xù)構(gòu)建，集成及測試

................6.1.6

持續(xù)交付和部署

..................6.1.7

運(yùn)行時(shí)防御和監(jiān)視

............6.1.8

DevSecOps

和零信結(jié)

..6.2

MLSecOps

and

AIOps

......6.3

融合

DevSecOps

和

AIOps6.4

辨別

MLSecOps

的差.337．參考

..................

35?

20257序言《協(xié)作與集成》報(bào)告充分體現(xiàn)了組織中的每個(gè)部門都同樣負(fù)責(zé)在軟期的每個(gè)階段集成安全性。DevSecOps

是一種文化取向、自動(dòng)化方法方法，將安全性作為整個(gè)

IT

生命周期的共同責(zé)任。DevSecOps

是基于

DevOps

的安全敏捷化的一場變革速：企業(yè)數(shù)字化轉(zhuǎn)型的

24

項(xiàng)核心能力》中第

22

個(gè)作是支持和促進(jìn)團(tuán)隊(duì)之間的合作，反映了傳統(tǒng)上安全方面的互動(dòng)程度。其中第

3

個(gè)能力要求交付的第一步。這是一種開發(fā)實(shí)踐。本報(bào)告以在

DevOps

中引入安全開發(fā)生命周期，需要在要人員、文化、流程和組織角色之間的全需要各種架構(gòu)師、軟件開發(fā)人員、De核心內(nèi)容，DevSecOps一開始就考慮應(yīng)用程序和是件生命周期各階段的安全都需李雨航

Yale

LiCSA

大中華區(qū)主席兼研究院院長?

20258前言云安全聯(lián)盟堅(jiān)定致力于提高軟件安全成果。作者于

2019

年

8

月發(fā)文《DevSecOps

的六大支柱》提供了一套高級(jí)方法和成功實(shí)施于快速最大限度地減少與安全相關(guān)的漏洞的解決方案。這六大支柱是支柱

1：集體責(zé)任（2020

年

2

月

20

日發(fā)布）支柱

2：協(xié)作與集成（2024

年

2

月

21

日發(fā)支柱

3：務(wù)實(shí)的實(shí)現(xiàn)（2022

年

12

月支柱

4：建立合規(guī)與發(fā)展的橋梁支柱

5：自動(dòng)化（2020

年支柱

6：測量、監(jiān)為支持六大支解決方案。本詳細(xì)的成功?

20259引言云安全聯(lián)盟

DevSecOps

工作組

(WG)

在云安全聯(lián)盟《通過反思性信息安全管理：安全、開發(fā)和運(yùn)營集成的六大支柱》中發(fā)布了高級(jí)一種稱為“反思性安全”的新應(yīng)用程序安全方法。對于任何對實(shí)DevSecOps

感興趣的組織來說，這六個(gè)支柱被認(rèn)為是關(guān)鍵其中支柱之一是“支柱

2：協(xié)作與集成”，可以而不是對抗來實(shí)現(xiàn)”。安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)，需包括業(yè)務(wù)領(lǐng)導(dǎo)者、領(lǐng)域?qū)＜摇踩藛T、架SOC

分析師和產(chǎn)品/項(xiàng)目經(jīng)理。需要關(guān)以確保充分了解與業(yè)務(wù)部門相關(guān)的件開發(fā)生命周期）的實(shí)踐遵循保組織支持持續(xù)的基于角隊(duì)合層和安全作，以確保安全實(shí)踐團(tuán)隊(duì)需要合作，企業(yè)制定適當(dāng)?shù)木W(wǎng)絡(luò)事件s

集成到組織流程中以及促進(jìn)成功實(shí)施文首先列出了

DevSecOps

溝通的指導(dǎo)原則，的基于角色的安全培訓(xùn)計(jì)劃的細(xì)節(jié)。接著，本文端到端

DevSecOps

交付流水線中進(jìn)行協(xié)作。接下來角色之間所需的溝通和協(xié)作，以將新的采購集成到組織現(xiàn)流程中。本文最后有一節(jié)介紹了

DevSecOps

與零信任、AIOps等其他技術(shù)領(lǐng)域之間的融合，概述了如何利用

DevSecOps

實(shí)現(xiàn)零SecOps

中與

DevSecOps

有一些相似之處的各種問題，以及

DevSecOps利用

AIOps。?

202510受眾本文檔的目標(biāo)受眾包括參與風(fēng)險(xiǎn)、信息安全、信息技術(shù)和知識(shí)管理運(yùn)營職能的人員。這包括

CISO、CIO、COO

以及參與以下職能領(lǐng)域全工程、產(chǎn)品管理、解決方案和應(yīng)用程序架構(gòu)師、自動(dòng)化、De信息安全、應(yīng)用程序安全、治理、風(fēng)險(xiǎn)管理和合規(guī)性、人（正文內(nèi)容如下）1．成功的

DevSecOps

協(xié)DevSecOps

是一種將安從開發(fā)過程的一開始就是用來描述這種集成的經(jīng)常要成功實(shí)層、產(chǎn)品性、非常重要。領(lǐng)導(dǎo)協(xié)作，確保業(yè)務(wù)連續(xù)SecOps

打造有效的跨團(tuán)而下進(jìn)行。領(lǐng)導(dǎo)層的大力支持將促進(jìn)實(shí)施導(dǎo)層最終負(fù)責(zé)制定業(yè)務(wù)連續(xù)性目標(biāo)并將其傳達(dá)給又會(huì)推動(dòng)組織的資金和努力，以幫助實(shí)現(xiàn)領(lǐng)導(dǎo)層設(shè)定網(wǎng)絡(luò)事件時(shí)業(yè)務(wù)連續(xù)性的規(guī)劃至關(guān)重要，實(shí)施安全第一的隊(duì)之間的協(xié)作，以了解企業(yè)面臨的各種內(nèi)部和外部網(wǎng)絡(luò)威脅，以業(yè)務(wù)的影響。一旦充分理解了威脅模型，團(tuán)隊(duì)就需要制定策略，確別和保護(hù)組織資產(chǎn)、持續(xù)監(jiān)控和檢測網(wǎng)絡(luò)威脅，以及在發(fā)現(xiàn)網(wǎng)絡(luò)漏洞時(shí)和恢復(fù)業(yè)務(wù)資產(chǎn)。使用

DevSecOps

原則將安全性集成到整個(gè)

IT

生命周期?

202511是保護(hù)和檢測功能的關(guān)鍵。1.2

沒有孤島DevSecOps

的目的是將安全性作為一項(xiàng)共同責(zé)任整合到整個(gè)中。這需要業(yè)務(wù)所有領(lǐng)域之間完全透明，愿意從開發(fā)過程的一并堅(jiān)信安全與質(zhì)量一樣，不是一個(gè)團(tuán)隊(duì)或個(gè)人的唯一職門共同承擔(dān)。領(lǐng)導(dǎo)層應(yīng)努力確保有一個(gè)持續(xù)的安全開、頻繁的溝通，努力將安全性完全集成到業(yè)手合作，共同擁有

DevSecOps

流程的成果大程度地實(shí)現(xiàn)安全自動(dòng)化。工程團(tuán)隊(duì)常運(yùn)行并正確實(shí)施的好方法。1.3

自動(dòng)化利用工具在節(jié)省時(shí)間并自動(dòng)化可以活動(dòng)，例如：資產(chǎn)識(shí)別、在簡事件響應(yīng)和恢復(fù)以及不同團(tuán)隊(duì)的充分參與下才能成功，因此必是確保您的團(tuán)隊(duì)能夠保持

DevSecOps

技術(shù)和的標(biāo)準(zhǔn)，需要慶祝取得的成就！這應(yīng)該在人員、學(xué)習(xí)以及隊(duì)的學(xué)習(xí)目標(biāo)可以包括培訓(xùn)和認(rèn)證，這些目標(biāo)應(yīng)包含在績效計(jì)中。請記住，您需要為這些學(xué)習(xí)計(jì)劃的實(shí)施提供時(shí)間和激勵(lì)。還應(yīng)術(shù)里程碑，以保持團(tuán)隊(duì)的積極性并確保

DevSecOps

計(jì)劃步入正軌。技功衡量的一些示例包括交付時(shí)間、部署頻率、可用性以及安全漏洞或攻擊的頻率。?

2025121.5

組織背景的理解各行各業(yè)的組織都是獨(dú)一無二的，每個(gè)組織都有其獨(dú)特的文化、結(jié)和運(yùn)行的方法。因此，DevSecOps

方法的采用需要根據(jù)每個(gè)組織的精心定制。這不僅涉及采用合適的工具，更重要的是培養(yǎng)符合的文化。圍繞

DevSecOps

轉(zhuǎn)型的討論，過度關(guān)注工具選然而，為了讓組織獲得

DevSecOps

的真正好處，重點(diǎn)1.6

明確的所有權(quán)和責(zé)任對于成功的

DevSecOps

計(jì)劃，需陣）。對于每項(xiàng)任務(wù)，需要明確利任務(wù)，以及需要咨詢哪些利益程師負(fù)責(zé)處置在其應(yīng)用責(zé)操作系統(tǒng)層面發(fā)現(xiàn)的風(fēng)1.7

就如用性、安全風(fēng)險(xiǎn)和管控效成協(xié)議。風(fēng)險(xiǎn)達(dá)成一致。關(guān)于如何優(yōu)先考慮風(fēng)險(xiǎn)的分遇失敗是不可避免的事實(shí)。他們應(yīng)該把這些挫折看作是增長和提，而不是消極看待。用這些原則將為成功的

DevSecOps

項(xiàng)目創(chuàng)造合適的環(huán)境，幫助組織的安全件開發(fā)實(shí)踐成熟，同時(shí)為他們的客戶提供價(jià)值。?

2025132．基于角色的安全培訓(xùn)項(xiàng)目的原因和計(jì)劃安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)。每個(gè)組的成員都需要根據(jù)他們的角色進(jìn)行培是一個(gè)復(fù)雜多樣的地方，人們有各種各樣的能力、技能和態(tài)度。在多樣性通常被用來創(chuàng)建利用這些不同能力和技能的特定角色。DevSecOps

包含了一個(gè)多維度的方法，適用于組織和鑒于個(gè)體在組織中有不同的角色，因此必須不斷提供一致的培訓(xùn)。表

1：組織中有參與者角色定義業(yè)務(wù)關(guān)鍵人員C

級(jí)高管

了平均投資者其指標(biāo)（響應(yīng)和修復(fù)平均指標(biāo)。在他們的工作方式和產(chǎn)品生命周組織的

DevSecOps

計(jì)劃負(fù)責(zé)。負(fù)責(zé)定義

DevSecOps

計(jì)劃目標(biāo)。

使

DevSecOps

計(jì)劃與商業(yè)目標(biāo)和目標(biāo)保持一致。

對他們相應(yīng)部門的

DevSecOps

計(jì)劃負(fù)責(zé)。裁?

202514

負(fù)責(zé)定義

DevSecOps

實(shí)施功能要求。

負(fù)責(zé)監(jiān)控

DevSecOps

過程并升級(jí)潛在問題。

負(fù)責(zé)定義

DevSecOps

實(shí)施功能要求。安全團(tuán)隊(duì)領(lǐng)導(dǎo)安全運(yùn)營（滲透測

負(fù)責(zé)將

DevSecOps

輸入納入他們的運(yùn)試人員，IR

團(tuán)隊(duì)，

受

DevSecOps

實(shí)施者咨詢。威脅情報(bào)）DevOps/平臺(tái)利益相關(guān)者

對

DevSecOps

流

咨詢定義

咨VP

/工程總監(jiān)：。影響。平臺(tái)evSecOps

流程負(fù)責(zé)。的應(yīng)用程序中的實(shí)施。實(shí)施對他們相應(yīng)的應(yīng)用程序的影響發(fā)布（CI

/

CD）工作流程中實(shí)施和維護(hù)流程。責(zé)遵循

DevSecOps

流程。

咨詢

DevSecOps

流程實(shí)施和持續(xù)改進(jìn)。?

202515Scrum

Masters

和

負(fù)責(zé)在開發(fā)流程中通知和推廣

DevSecOps

流程。項(xiàng)目經(jīng)理

咨詢

DevSecOps

流程實(shí)施和持續(xù)改進(jìn)。質(zhì)量保證利益相關(guān)者質(zhì)量保證副總裁/

咨詢定義

DevSecOps

實(shí)施功能要總監(jiān)質(zhì)量保證經(jīng)理

對

DevSecOps

在

QA

流

咨詢以評估

Dev質(zhì)量保證和團(tuán)隊(duì)

對

DevSe領(lǐng)導(dǎo)

咨2.1

安全培在時(shí)多人可能沒有足夠的要的。例如，該計(jì)劃可以讓模。訓(xùn)就至關(guān)重要。這將使成員熟悉安全送定期的電子郵件通信或內(nèi)部新聞簡訊，保持組織的更新。求更深入的見解，并主動(dòng)提問或提出關(guān)于安全主題的個(gè)查詢都來自“安全客戶”至關(guān)重要。接受

DevSecOps員安全地發(fā)布他們的工作的能力，而不是阻礙他們。些希望深入研究的安全愛好者或“冠軍”，可以考慮組成一個(gè)專門的組。使用公司的協(xié)作工具來促進(jìn)關(guān)于安全相關(guān)主題的頻繁討論，并至少每度安排定期的內(nèi)部研討會(huì)或聚會(huì)。?

2025162.2

如何獲得安全培訓(xùn)計(jì)劃的認(rèn)可和支持從多元化的業(yè)務(wù)負(fù)責(zé)人那里獲得支持可能會(huì)很有挑戰(zhàn)性，尤其是在工有專門時(shí)間處理他們組織內(nèi)部的安全問題的情況下。然而，這不立的努力。強(qiáng)調(diào)對領(lǐng)導(dǎo)層的必要性，即定期解決安全問題并與解決，以防止重大的安全事件發(fā)生。應(yīng)向領(lǐng)導(dǎo)層強(qiáng)調(diào)，網(wǎng)的數(shù)據(jù)丟失，客戶流失，業(yè)務(wù)停機(jī)等影響。為獲得安領(lǐng)導(dǎo)展示安全培訓(xùn)計(jì)劃在減少組織中的網(wǎng)絡(luò)事件的勞動(dòng)力，健全的

devsecops

計(jì)劃，以及組另一個(gè)挑戰(zhàn)在于保持員工對安全期舉辦安全會(huì)議，并每月留出

30時(shí)刻提供了公開承認(rèn)安全冠例如讓他們參與關(guān)鍵的，。2.3

如何衡量衡量的參與者數(shù)量，以及的安全測驗(yàn)，桌面演練和測量識(shí)以及參與者在這種情況下會(huì)vSecOps

協(xié)作文化后，您可以引入其他指安全問題數(shù)量在定義的內(nèi)部服務(wù)等級(jí)協(xié)議內(nèi)解決的安全問題數(shù)量?

202517

安全事件頻率的變化補(bǔ)救平均時(shí)間安全問題數(shù)量上升或下降檢測安全問題的平均時(shí)間修復(fù)安全問題的平均時(shí)間3．交付流水線中的協(xié)作和下圖列舉了構(gòu)成端到端軟件需要利益相關(guān)者之間保持溝紹每個(gè)具體階段，并針介及這些利益相關(guān)者之間為安全開一種從這種視覺效果給人之間存在雙向反饋循環(huán)。?

202518線的跨團(tuán)隊(duì)協(xié)作，其中包括系統(tǒng)和安全架構(gòu)和開發(fā)人員合作，將產(chǎn)品團(tuán)隊(duì)開發(fā)的產(chǎn)品愿輸入，并生成理想的系統(tǒng)高級(jí)設(shè)計(jì)

(HLD)。

實(shí)現(xiàn)驟還應(yīng)包括系統(tǒng)的滲透測試、紅隊(duì)、藍(lán)隊(duì)和紫隊(duì)練習(xí)的開發(fā)人員在此階段合作評估各種設(shè)計(jì)選擇，并提出理想的功能和非功能要求。

安全架構(gòu)師為系統(tǒng)開發(fā)威脅模型，以了解擇的威脅向量、攻擊面、安全風(fēng)險(xiǎn)和暴露半徑。

安全架構(gòu)師還評估重用組織中其他團(tuán)隊(duì)成功使用的現(xiàn)有安全設(shè)計(jì)模式。?

2025193.2

安全編碼階段在此階段，項(xiàng)目經(jīng)理和開發(fā)人員合作，確保項(xiàng)目包含從安全設(shè)計(jì)構(gòu)階段實(shí)現(xiàn)理想架構(gòu)所需的高級(jí)里程碑。

開發(fā)團(tuán)隊(duì)使用敏捷開發(fā)這些里程碑分解為史詩、用戶故事和任務(wù)。

每日站會(huì)和項(xiàng)目發(fā)步入正軌并向前推進(jìn)，并且團(tuán)隊(duì)成員保持一致。

在代開發(fā)人員使用安全編碼實(shí)踐、OWASP

等安全標(biāo)準(zhǔn)、審查流程來協(xié)作和開發(fā)安全代碼。

早期階段的份驗(yàn)證、授權(quán)、審計(jì)以及與構(gòu)建系統(tǒng)、成的代碼。3.3

持續(xù)構(gòu)建、集成和測在此階段，開發(fā)人構(gòu)團(tuán)隊(duì)協(xié)作開發(fā)測試自性能、質(zhì)量、用來自代試系統(tǒng)的開發(fā)團(tuán)隊(duì)使鏡像掃描、測試果來解決代碼和設(shè)計(jì)中發(fā)現(xiàn)的任何差距都需要設(shè)計(jì)調(diào)整和修改。

敏捷用于讓設(shè)計(jì)變更和錯(cuò)誤修復(fù)。運(yùn)營人員協(xié)作為項(xiàng)目開發(fā)持續(xù)部署

(CD)

流水線，并持續(xù)部署工具中。

團(tuán)隊(duì)共同努力，為系統(tǒng)設(shè)置持續(xù)監(jiān)控跟蹤關(guān)鍵績效指標(biāo)

(KPI)

和警報(bào)。

該團(tuán)隊(duì)還合作開發(fā)項(xiàng)目事以確保項(xiàng)目與事件響應(yīng)平臺(tái)集成，并制定第

2

天支持的待命時(shí)間?

2025203.5

運(yùn)行時(shí)防御和監(jiān)控在這個(gè)階段，開發(fā)人員和運(yùn)營團(tuán)隊(duì)協(xié)作，確保系統(tǒng)在第二天的生產(chǎn)行。運(yùn)營和開發(fā)團(tuán)隊(duì)始終掌握項(xiàng)目

KPI

儀表板和安全事件，并共同報(bào)和安全事件。運(yùn)營團(tuán)隊(duì)通常是事件發(fā)生時(shí)的第一道防線。如事件將上報(bào)給開發(fā)團(tuán)隊(duì)。

事件發(fā)生后，通常會(huì)有一個(gè)事構(gòu)、開發(fā)和運(yùn)營團(tuán)隊(duì)聚集在一起，向高層領(lǐng)導(dǎo)簡要介事件的詳細(xì)信息以及這一事件是否可以避免。

然要修復(fù)系統(tǒng)中的設(shè)計(jì)和編碼差距提供反饋。4.新收購項(xiàng)目與

Dev當(dāng)一家新公司被收重要，有兩個(gè)原因：一是程中。收購方成到現(xiàn)有流4.1t、GitHub、GitLab、Subversion名稱。RL。整理每個(gè)代碼存儲(chǔ)庫支持的每個(gè)應(yīng)用于每個(gè)應(yīng)用程序和產(chǎn)品的產(chǎn)品經(jīng)理和工程師負(fù)織使用的編程語言及其比例。這有助于識(shí)別控制（掃描、方面的差距。定使用了哪些工具/流程（如有）：

隱密掃描?

202521

靜態(tài)代碼分析動(dòng)態(tài)分析容器/圖像掃描作為代碼掃描的基礎(chǔ)設(shè)施漏洞管理威脅建模配置風(fēng)險(xiǎn)/基線掃描軟件即服務(wù)風(fēng)險(xiǎn)身份和訪變當(dāng)前

DevSecOps

的成熟度。re、GCP

等）和內(nèi)部部署環(huán)境資源相應(yīng)的所共享。，將所有安全掃描結(jié)果和可用日志作為新的數(shù)據(jù)源添加，構(gòu)的安全運(yùn)營中心（SOC）。購方的高管、產(chǎn)品經(jīng)理和軟件工程師討論，從工作優(yōu)先級(jí)的角度，如何處理安全問題。是否在每次沖刺中都分配了時(shí)間、金錢和人員來滿足安全和架構(gòu)現(xiàn)代化?

202522要求？根據(jù)上述信息，確定與收購方流程和優(yōu)先級(jí)方面的差距。注：現(xiàn)階段，不應(yīng)對被收購方現(xiàn)有的軟件開發(fā)流程進(jìn)行任何變更，程的風(fēng)險(xiǎn)超過收購方的風(fēng)險(xiǎn)偏好。4.2

收購后

180

天內(nèi)1.

使用

DevSecOps

成熟度模型來衡量被相同的模型。流行的

DevSecOps

成熟

OWASP

DevSecOps

成熟度模

云原生計(jì)算基礎(chǔ)成熟

軟件保證成熟2.

根據(jù)成其達(dá)成ps

計(jì)劃并促4.3計(jì)劃。水

平

，

并

有獨(dú)

特

的

途

徑來

改

進(jìn)

其軟件開發(fā)過程應(yīng)該在每個(gè)團(tuán)隊(duì)的實(shí)際基礎(chǔ)的

DevSecOps

成熟度水平（團(tuán)隊(duì)、產(chǎn)品、部門等）。ecOps

案例研究本節(jié)快速概述了一些不同規(guī)模、處于業(yè)務(wù)生命周期不同階段的組織的真?

202523實(shí)案列，這些組織成功地實(shí)施了

DevSecOps，作為其數(shù)字化轉(zhuǎn)型之旅的一部分，以及支撐其

DevSecOps

實(shí)施的關(guān)鍵方面。5.1

擁有傳統(tǒng)組件的大型老牌公司Capital

One

開始了

DevSecOps

轉(zhuǎn)型之旅，以增強(qiáng)安全性軟件交付。以下是他們?nèi)绾螌?shí)現(xiàn)

DevSecOps

的概述。文化轉(zhuǎn)型：Capital

One

專注于在開發(fā)、運(yùn)營責(zé)任的文化。他們培養(yǎng)了開放的溝通渠道，責(zé)任共擔(dān)。自動(dòng)化安全控制：Capital

One他們將靜態(tài)應(yīng)用程序安全測掃描工具集成到其持續(xù)集漏洞。安全持續(xù)合規(guī)調(diào)持續(xù)合安全/CD

流水線，強(qiáng)遵守行業(yè)法規(guī)和內(nèi)部面的威脅建模和風(fēng)險(xiǎn)評估，以確了攻擊表面，識(shí)別了漏洞，并實(shí)施了通過將其分解為更小、更易于管理的單元，逐。他們采用了微服務(wù)架構(gòu)和容器化，以提高可擴(kuò)展性、他們能夠有效地將

DevSecOps

實(shí)踐應(yīng)用于現(xiàn)代化的組件。編排：Capital

One

利用安全自動(dòng)化和編制工具來簡化安全流程實(shí)施了安全事件和事件管理（SIEM）系統(tǒng)、安全編排與自動(dòng)化響應(yīng)平臺(tái)以及高級(jí)威脅檢測機(jī)制，以增強(qiáng)其安全操作?

2025245.2

風(fēng)險(xiǎn)偏好較高，規(guī)?？焖侔l(fā)展的企業(yè)大

型

公

司

成

功

實(shí)

施

DevSecOps

的

一

個(gè)

例

子

是

Netflix

。

他

們

采DevSecOps

實(shí)踐，以確保其應(yīng)用程序和基礎(chǔ)設(shè)施的安全，同時(shí)保持活性和快速部署周期。以下是

Netflix

如何實(shí)現(xiàn)

DevSecOps

的概擁抱

DevOps

文化：Netflix

培養(yǎng)了開發(fā)、運(yùn)營和安全責(zé)任的文化。他們鼓勵(lì)在整個(gè)軟件開發(fā)生命周期中跨自動(dòng)化安全流程：Netflix

自動(dòng)化安全流程，集成和持續(xù)部署（CI/CD）流水線中。他們實(shí)儀，以便在開發(fā)過程的早期識(shí)別漏洞和持續(xù)安全測試：Netflix

在整個(gè)應(yīng)用程序安全測試（SAST）、動(dòng)

態(tài)這使他們能夠快速檢測和基礎(chǔ)設(shè)施即代碼基礎(chǔ)設(shè)施。他們使用了

A全地自動(dòng)化安全等工具來安統(tǒng)，用于實(shí)時(shí)檢測和響應(yīng)EM）工具、日志分析和威協(xié)作和知識(shí)分享。他們定期舉辦安開討論，以提高整個(gè)組織的安全意識(shí)和的私人高成長型創(chuàng)業(yè)公司長為可擴(kuò)展

DevSecOps

實(shí)現(xiàn)的例子是特殊商品市場用

DevSecOps

實(shí)踐，以確保其市場和微服務(wù)的安全，而不狀態(tài)和平臺(tái)可用性。以下是

Catawiki

如何實(shí)現(xiàn)

DevSecOps

的概擁抱開發(fā)人員和安全性之間的合作：Catawiki

的

DevSecOps

第一個(gè)里程?

202525碑是打破了“你負(fù)責(zé)安全，我負(fù)責(zé)編碼”的心態(tài)。作為這一過程的一部分，安全部門的作用從質(zhì)量的把關(guān)者演變?yōu)樵谡麄€(gè)軟件開發(fā)生命周期中提供持續(xù)反饋和輸入的推動(dòng)者。這種新方法促進(jìn)了安全、開發(fā)和基礎(chǔ)設(shè)施團(tuán)隊(duì)間的信任和更密切的合作。標(biāo)準(zhǔn)化組件：考慮到開發(fā)團(tuán)隊(duì)的成熟度和技能水平各不相認(rèn)識(shí)到創(chuàng)建一個(gè)所有人都可以依賴的共同基礎(chǔ)的重要性，他們建立了標(biāo)準(zhǔn)框架、模板和基礎(chǔ)設(shè)施即代碼（IaC）輕松實(shí)現(xiàn)安全性。內(nèi)置安全：Catawiki

自動(dòng)化安全流程，將部署（CI/CD）流水線中。他們明智地選化安全工具，保持與當(dāng)前的工作方實(shí)施持續(xù)評估和單一窗口中最大限度地采用安全技工具和報(bào)告。他們還員的角度實(shí)現(xiàn)價(jià)實(shí)施漏洞人全性只有從研究人員檢查他外部角們VSS）和內(nèi)部服務(wù)水確認(rèn)解決漏洞的優(yōu)先級(jí)。外，Catawiki

還通過游戲化服他們?yōu)榻鉀Q漏洞而獎(jiǎng)勵(lì)團(tuán)隊(duì)積分加深對安全的理解。vSecOps在使用過時(shí)的傳統(tǒng)技術(shù)，但受益于云原生系統(tǒng)具有更勢，銀行業(yè)正在發(fā)生變化。在這種演變中，初創(chuàng)公司

10xnologies

正逐漸嶄露頭角。他們率先開發(fā)了專為大型銀行設(shè)計(jì)的銀行平臺(tái)，有效解決了傳統(tǒng)系統(tǒng)帶來的成本和安全挑戰(zhàn)。以下是

10x

Future

Technologies

如何將

DevSecOps

融入其整體戰(zhàn)略的概?

202526述。通過使用工具集，促進(jìn)安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)之間的合作：

在

10x，通過讓每個(gè)人都能訪問，用于跟蹤工具發(fā)現(xiàn)漏洞的實(shí)時(shí)儀表板，促進(jìn)安全隊(duì)與開發(fā)團(tuán)隊(duì)之間的合作。這些工具集可以對存在的漏洞發(fā)出警報(bào)對所有團(tuán)隊(duì)成員的透明度和可訪問性。透明度是一種重要機(jī)制個(gè)團(tuán)隊(duì)都了解自己作為團(tuán)隊(duì)成員在交付安全的軟件中扮演安全責(zé)任共擔(dān)：

在開發(fā)云原生銀行平臺(tái)的過程中策略非常重要，以加強(qiáng)對安全的實(shí)踐。通過提高推動(dòng)日常任務(wù)中的團(tuán)隊(duì)合作以及積極實(shí)施安有團(tuán)隊(duì)成員的共同責(zé)任。實(shí)施漏洞安全持續(xù)審查流程：召開由整個(gè)組織不同團(tuán)隊(duì)的代題時(shí)考慮到廣泛的觀點(diǎn)。組織做好準(zhǔn)備應(yīng)對不在組織文化之間開放的且團(tuán)隊(duì)法進(jìn)一步強(qiáng)精神。通過這種化了安寶多的共鳴和理解。x

能夠圍繞軟件交付建立三大支柱如何以合作的方式，其他技術(shù)實(shí)踐融合的實(shí)踐述本文中闡述的一些原則和與其他技術(shù)實(shí)踐的交互流程，s

與這些技術(shù)實(shí)踐之間如何協(xié)作以實(shí)現(xiàn)更好的安全成果。本的技術(shù)實(shí)踐包括零信任、AIOps

和

MLSecOps

以及數(shù)據(jù)網(wǎng)格。?

2025276.1

DevSecOps

和零信任6.1.1

DevSecOps

概述DevSecOps

是一種將安全實(shí)踐融入

DevOps

流水線的方法，運(yùn)營和安全團(tuán)隊(duì)的共同責(zé)任。其主要原則包括自動(dòng)化、協(xié)續(xù)交付（CI/CD）和反饋循環(huán)。6.1.2

零信任概述零信任是一種安全戰(zhàn)略。它假定無何實(shí)體，都不應(yīng)被默認(rèn)信任。無論設(shè)備和應(yīng)用程序的身份和可信識(shí)別與訪問管理、微隔離DevSecOps

與零DevSecOps基礎(chǔ)要素。6.1vSecOps

團(tuán)隊(duì)之間的合作至證"的原則。它鼓勵(lì)設(shè)計(jì)不信任任和應(yīng)用架構(gòu)。這意味著從一開始就進(jìn)戶身份驗(yàn)證。零信任團(tuán)隊(duì)可以指導(dǎo)如何實(shí)vSecOps

可以確保將這些控制集成到架構(gòu)中。計(jì)既安全又符合零信任的

"絕不信任，始終驗(yàn)證

"為例：?

202528

零信任架構(gòu)師：指導(dǎo)

DevSecOps

工程師為新的云應(yīng)用程序設(shè)計(jì)微隔離控制。這種指導(dǎo)可能包括定義微隔離、確定需要微隔離的應(yīng)用程序和服務(wù)，推薦微隔離工具和技術(shù)。

DevSecOps

工程師：與開發(fā)團(tuán)隊(duì)合作，將微隔離控制集成構(gòu)中。這可能涉及配置基于云的安全工具、開發(fā)自定義微隔試和驗(yàn)證微隔離控制措施。6.1.4

安全編碼在安全編碼階段，零信任團(tuán)隊(duì)和

DevSe零信任強(qiáng)調(diào)需要驗(yàn)證和確認(rèn)用戶和應(yīng)全編碼實(shí)踐的關(guān)注是一致的。De并執(zhí)行基于身份的安全策略能訪問代碼。這種協(xié)作到開發(fā)流程中。以用戶身份零信任全策略份的代碼安權(quán)限，確定需要訪訪問控制技術(shù)?；谏矸莸拇a安全策略。身份的訪問控制，與身份管理，以及使用代碼分析工具識(shí)別和修全漏洞。及測試集成和測試階段，零信任團(tuán)隊(duì)和

DevSecOps

團(tuán)隊(duì)之間的的身份驗(yàn)證與訪問控制至關(guān)重要。零信任對持續(xù)驗(yàn)證與對使用自動(dòng)化安全測試工具的重視程度是一致的。當(dāng)

DevSecOps持續(xù)驗(yàn)證用戶和應(yīng)用程序身份集成到

CI/CD

流水線中時(shí)，零信任團(tuán)隊(duì)可以指導(dǎo)如何驗(yàn)證這些原則。協(xié)作可確保針對每個(gè)請求的訪問控制重新評?

202529估，并使自動(dòng)化安全測試工具與持續(xù)驗(yàn)證的零信任模型保持一致。零信任架構(gòu)師：

指導(dǎo)

DevSecOps

工程師定義和執(zhí)行基于身份的代碼安全策略。這種指導(dǎo)可能包括定義用戶訪問代碼所需的角色和權(quán)限，確定要能夠訪問代碼的應(yīng)用程序和服務(wù)，以及推薦身份驗(yàn)證和訪問控制DevSecOps

工程師：

與開發(fā)團(tuán)隊(duì)合作，實(shí)施基于身份的代這可能涉及配置源代碼控制系統(tǒng)以執(zhí)行基于身份的訪問控系統(tǒng)集成以驗(yàn)證用戶和應(yīng)用程序的身份，以及使用代復(fù)與身份和訪問控制相關(guān)的安全漏洞。6.1.6

持續(xù)交付和部署在持續(xù)交付和部署階段，零信確保對部署資源的訪問受到任對訪問控制和身份驗(yàn)用是一致的。零信將其集成到部并對可疑s

則行驗(yàn)證，零水線中實(shí)施持續(xù)身應(yīng)用程序身份的推薦方工具和技術(shù)，以及將持續(xù)的指導(dǎo)：與開發(fā)團(tuán)隊(duì)合作，在問控制。這可能涉及配置

CI/CD

工具統(tǒng)集成以驗(yàn)證用戶和應(yīng)用程序的身份，別和修復(fù)與身份和訪問控制相關(guān)的安全漏洞。和監(jiān)視隊(duì)和

DevSecOps

團(tuán)隊(duì)之間的合作對于運(yùn)行防御和監(jiān)控階段控和行為分析至關(guān)重要。零信任原則與

DevSecOps

對持續(xù)監(jiān)控和反饋的關(guān)注是一致的。零信任團(tuán)隊(duì)可以為實(shí)施網(wǎng)絡(luò)分段、微隔離和行為監(jiān)控提供見解，而

DevSecOps

則確保這些措施得到有效維護(hù)。這種協(xié)作?

202530可確保任何可疑行為都會(huì)觸發(fā)調(diào)查和自動(dòng)響應(yīng)，從而與持續(xù)監(jiān)控原則和零信任的主動(dòng)防御保持一致。零信任架構(gòu)師:指導(dǎo)

DevSecOps

工程師為部署的應(yīng)用程序?qū)崿F(xiàn)持續(xù)監(jiān)和行為分析。該指導(dǎo)可能包括用于持續(xù)監(jiān)控和行為分析所推薦的工術(shù)，提供關(guān)于配置持續(xù)監(jiān)控和行為分析工具用于檢測可疑活動(dòng)幫助定義響應(yīng)可疑活動(dòng)的策略活動(dòng)。DevSecOps

工程師：與運(yùn)維團(tuán)隊(duì)合作，對部署的應(yīng)和行為分析。這可能涉及配置監(jiān)控工具以收集有部署安全工具以檢測所收集數(shù)據(jù)中的可疑活響應(yīng)

(SOAR)

工具集成，以自動(dòng)響應(yīng)可6.1.8

DevSecOps

和零信當(dāng)考慮到軟件開發(fā)叉點(diǎn)尤其強(qiáng)大。De強(qiáng)調(diào)了即使在共同創(chuàng)建信任問。它們行時(shí)防御，為應(yīng)用演進(jìn)分支，對于充分發(fā)揮機(jī)器學(xué)習(xí)模的環(huán)境中協(xié)調(diào)運(yùn)行過程，包括良好的基礎(chǔ)設(shè)部署和持續(xù)的性能監(jiān)控，從而確保機(jī)器學(xué)習(xí)模型，MLSecOps

還將安全措施和隱私因素納入工作流程，模型的保護(hù)以及底層基礎(chǔ)設(shè)施免受各種威脅。于

Gartner。AIOps

是人工智能功能的應(yīng)用，旨在提高運(yùn)營效率。AIOps

利用大數(shù)據(jù)和機(jī)器學(xué)習(xí)來：.收集由基礎(chǔ)設(shè)施、應(yīng)用程序和服務(wù)生成的大量數(shù)據(jù)?

2025312.對數(shù)據(jù)應(yīng)用各種轉(zhuǎn)換以提取特征3.訓(xùn)練機(jī)器學(xué)習(xí)模型，建立行為基線4.應(yīng)用機(jī)器學(xué)習(xí)模型生成信號(hào)5.使用機(jī)器學(xué)習(xí)、符號(hào)

AI、基于

AI

的規(guī)劃和本體推理來6.應(yīng)用機(jī)器學(xué)習(xí)模型來關(guān)聯(lián)這些信號(hào)和根本原因分MLSe