1、 2023 云安全联盟大中华区版权所有1 2023 云安全联盟大中华区版权所有2DevSecOps 工作组的官方网址是：https:/cloudsecurityalliance.org/research/working-groups/devsecops/2023 云安全联盟大中华区保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文

2、内容，使用时请注明引用于云安全联盟大中华区。2023 云安全联盟大中华区版权所有3 2023 云安全联盟大中华区版权所有4致谢致谢DevSecOps-的六大支柱：自动化（The Six Pillars of DevSecOps:Automation）由 CSA 工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中文版翻译专家组中文版翻译专家组（排名不分先后）：组长：组长：李岩翻译组：翻译组：伏伟任何国锋何伊圣贺志生江楠江泽鑫陆琪余晓光审校组：审校组：何国锋江楠李岩研究协调员：研究协调员：卜宋博感谢以下单位的支持与贡献：感谢以下单位的支持与贡献：中国电信股份有限公司研究院华为技术有限公司腾讯

3、云计算（北京）有限责任公司 2023 云安全联盟大中华区版权所有5英文版本编写专家英文版本编写专家主要作者：主要作者：Souheil MoghnieTheodore NiedzialkowskiSam Sehgal贡献者：贡献者：Michael RozaCSA 分析师：分析师：Sean Heide特别感谢：特别感谢：Ankur GargiRaj HandaManuel IflandJohn MartinKamran SadiqueCharanjeet SinghAltaz Valani在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给予雅正！联系邮箱 research

4、c-；国际云安全联盟 CSA 公众号。2023 云安全联盟大中华区版权所有6序言序言DevSecOps 是基于 DevOps 安全敏捷化的一场变革，DevSecOps 的出现也改变了安全解决方案及安全合规的新思维。CSA 针对 DevSecOps 提出了六大支柱，分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。DevSecOps 的核心意味着要把安全管理思想全面地覆盖到整个框架中软件开发生命周期中，实现基于安全性的自动化是关键的核心问题。在 DevOps 名著 持续交付中就指出应将几乎所有事情自动化，本白皮书以自动化为核心，提出了 CSA

5、 DevSecOps 软件交付流水线，将安全传递给 DevOps 团队，权衡软件开发和安全需求，从而通过自动集成提高交付效率。通过学习 CSA DevSecOps 自动化的交付模式，可以帮助企业提升数字化业务的交付能力，实现基于风险的安全自动化的新方案。DevSecOps 也是 CSA 高级云安全专家课程（CSA ACSE）的核心内容，DevSecOps是践行共享安全责任的协作表现，DevSecOps 意味着从一开始就考虑应用程序和基础设施安全，实现自动化安全质量门禁。只有基于 DevOps 整合 IT 的合作文化，才能构建 DevSecOps 集成安全性、开发和运营实现自动化流水线，帮助企业

6、实现其数字化转型的业务目标。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2023 云安全联盟大中华区版权所有7目录目录致谢.4序言.6前言.9介绍.90.1 背景.90.2 目的.100.3 读者群体.111.适用范围.112.规范引用文件.113.术语和定义.114.CSA DevSecOps 软件交付流水线.144.1 总则.144.2 结构.154.2.1 总则.154.2.2 阶段.154.2.3 触发器.164.2.4 活动.174.3 流水线的设置和维护.175.风险优先的流水线.185.1 概述.185.2 风险因素.195.2.1 应用程序风险.195.2.2 变更