1、 2025 云安全联盟大中华区版权所有1 2025 云安全联盟大中华区版权所有2DevSecOps 工作组的永久官方网址https:/cloudsecurityalliance.org/research/working-groups/devsecops/2025 云安全联盟大中华区保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文

2、内容，使用时请注明引用于云安全联盟大中华区。2025 云安全联盟大中华区版权所有3 2025 云安全联盟大中华区版权所有4致谢致谢DevSecOps 的六大支柱：协作与集成（The Six Pillars of DevSecOps:Collaborationand Integration）由 Abdul Rahman Sattar 编写，并由 CSA 大中华区专家组织翻译并审校。（以下排名不分先后）：中文版翻译专家组中文版翻译专家组组长：组长：李岩翻译组成员：翻译组成员：何伊圣欧建军王 彪王贵宗伏伟任谢绍志审校组成员：审校组成员：苏泰泉李岩江 楠罗智杰卜宋博研究协调员：研究协调员：闭俊林易利杰

3、贡献单位：贡献单位：北京天融信网络安全技术有限公司 2025 云安全联盟大中华区版权所有5英文版本编写专家英文版本编写专家主要作者：主要作者：Abdul Rahman Sattar贡献者：贡献者：Aristide BouixAmit ButailIvan De Los SantosDarien HirotsuNitin KulkarniAlexandria LearyMichael Roza审稿人：审稿人：Kapil BarejaRam ReddyUdith WickramasuriyaCSA 分析师：CSA 分析师：Josh Buker 2025 云安全联盟大中华区版权所有6目录目录致谢.4

4、序言.8前言.9引言.10目标.10受众.111成功的 DevSecOps 协作和集成的指导原则.111.1 领导层主动和有效的沟通.111.2 没有孤岛.121.3 自动化.121.4 以人为本的方法.121.5 组织背景的理解.131.6 明确的所有权和责任.131.7 就如何衡量进展达成一致.131.8 将失败视为机遇.132基于角色的安全培训项目的原因和计划.142.1 安全培训计划的实施.162.2 如何获得安全培训计划的认可和支持.172.3 如何衡量安全培训计划的成功.173交付流水线中的协作和集成.183.1 安全设计和架构阶段.193.2 安全编码阶段.203.3 持续构建、

5、集成和测试.203.4 持续交付和部署.203.5 运行时防御和监控.214新收购项目与 DevSecOps 交付流水线的集成过程.214.1 收购后 60 天内.214.2 收购后 180 天内.234.3 至少每年一次.235DevSecOps 案例研究.245.1 拥有传统组件的大型老牌公司.245.2 风险偏好较高，规模快速发展的企业.25 2025 云安全联盟大中华区版权所有75.3 成长为规模化企业的私人高成长型创业公司.255.4 初创银行拥抱 DevSecOps.266DevSecOps 和其他技术实践融合的实践.276.1 DevSecOps 和零信任.286.1.1 Dev

6、SecOps 概述.286.1.2 零信任概述.286.1.3 安全设计和架构.286.1.4 安全编码.296.1.5 持续构建，集成及测试.296.1.6 持续交付和部署.306.1.7 运行时防御和监视.306.1.8 DevSecOps 和零信任总结.316.2 MLSecOps and AIOps.316.3 融合 DevSecOps 和 AIOps.326.4 辨别 MLSecOps 的差异因素.337参考.35 2025 云安全联盟大中华区版权所有8序言序言协作与集成 报告充分体现了组织中的每个部门都同样负责在软件开发周期的每个阶段集成安全性。DevSecOps 是一种文化取向、