1、 2023 云安全联盟大中华区版权所有1 2023 云安全联盟大中华区版权所有2DeveSecOps 工作组的官方网址是：https:/cloudsecurityalliance.org/research/working-groups/devsecops/2023 云安全联盟大中华区保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本

2、文内容，使用时请注明引用于云安全联盟大中华区。2023 云安全联盟大中华区版权所有3 2023 云安全联盟大中华区版权所有4致谢DevSecOps-支柱 4 建立合规与发展的桥梁（DevSecOps-Pillar4 Bridging Compliance andDevelopment）由 CSA 工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中文版翻译专家组中文版翻译专家组（排名不分先后）：组长：组长：李岩翻译组：翻译组：车洵何国锋何伊圣贺志生黄鹏华江楠苏泰泉余晓光审校组：审校组：何国锋江楠李岩研究协调员：研究协调员：卜宋博感谢以下单位的支持与贡献：感谢以下单位的支持与贡献：中国电信股

3、份有限公司研究院华为技术有限公司腾讯云计算（北京）有限责任公司 2023 云安全联盟大中华区版权所有5英文版本编写专家英文版本编写专家主要作者：主要作者：Souheil MoghnieTheodore NiedzialkowskiSam Sehgal贡献者：贡献者：Michael RozaCSA 分析师：分析师：Sean Heide特别感谢：特别感谢：Ankur GargiRaj HandaManuel IflandJohn MartinKamran SadiqueCharanjeet SinghAltaz Valani在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处

4、给予雅正！联系邮箱 researchc-；国际云安全联盟 CSA 公众号。2023 云安全联盟大中华区版权所有6序言DevSecOps 是基于 DevOps 的安全敏捷化的一场变革，DevSecOps 的出现也改变了安全解决方案及安全合规的新思维。CSA 针对 DevSecOps 提出了六大支柱，分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。理想模式下 DevSecOps 世界中的合规意味着客户能够管理偏离安全基线的情况，并通过实时数据的自我修复功能。DevSecOps 在实现速度和安全优先的同时，实现具有更加高效、更安全的持续交付。在

5、 DevOps 名著DevOps HandBook中就指出测量对 DevOps 实践合规性的重要性。本白皮书以合规与发展为核心，提出在 DevSecOps 模式中的合规性目标是提高应用程序及环境的整体安全性，同时减少风险，以安全目标来验证持续交付。DevSecOps 也是 CSA 高级云安全专家课程（CSA ACSE）的核心内容，DevSecOps 是践行共享安全责任的文化表现，实现满足企业对监管或行业合规标准的管理要求。尤其是很多企业通过了 ISO/IEC27001、CSA Star 等认证。通过学习 CSA DevSecOps 合规与发展，帮助企业提升数字化合规的能力，实现基于风险的安全合

6、规的新方案。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2023 云安全联盟大中华区版权所有7目录目录致谢致谢.3序言序言.6前言.81 简介.91.1 目标.101.2 读者群体.102 评估.112.1 与云服务提供商的共担责任.112.2 即时评估和持续评估.133 心态.153.1 使用价值流映射的合规性.153.2 合规目标转化为安全措施.184.工具.224.1 拥抱即代码 as-Code 模型.224.2 拥抱 DevSecOps 方法进行测试.244.3 追踪开源风险.274.4 安全护栏.294.5 模式和模板.335.总结.35参考文献.37词汇表.40缩略语.