1、 2025云安全联盟大中华区版权所有1DevSecOps六六大大支支柱柱:集集体体责责任任发发展展安安全全支支持持型型文文化化的的关关键键考考虑虑因因素素 2025云安全联盟大中华区版权所有2DevSecOps 工作组官方网址：https:/cloudsecurityalliance.org/research/working-groups/devsecops 2025 云安全联盟 保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网(https:/www.c-)。须遵守以下:（a）草案仅限个人、信息性及非商业用途；（b）不得以任何方式修改或改动草案；（c

2、）不得重新分发草案；（d）不得移除商标、版权或其他声明。根据中华人民共和国著作权法合理使用条款，您可以引用草案部分内容，但须注明该部分内容源自云安全联盟。2025云安全联盟大中华区版权所有3 2025云安全联盟大中华区版权所有4致 谢中文版翻译专家翻译组成员：张坤谢绍志贺志生江泽鑫余晓光审校组成员：李 岩（以上排名不分先后）2025云安全联盟大中华区版权所有5英文版翻译专家主要作者:John MartinStacy SimpsonAshleigh BuckinghamAltaz ValaniMelissa Riley贡献者:Dennis BushGlenn LeifheitSteve Lipn

3、erMathew LyonSam SehgalSouheil MoghnieXiping SongSean Heide在此感谢以上专家及单位。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给予雅正！联系邮箱researchc-；国际云安全联盟CSA公众号。2025云安全联盟大中华区版权所有6行行业业合合作作伙伙伴伴云安全联盟（CSA）作为全球领先的组织，致力于定义和提升对最佳实践的认识，以帮助确保云计算环境的安全。CSA 利用行业从业者、协会、政府及其企业和个人会员的主题专业知识，提供针对云安全的研究、教育、培训、认证、活动和产品。https:/cloudsecurityalliance

4、.org/软件保证卓越代码论坛（SAFECode）是一个非营利性组织，主要致力于通过改进有效的软件保证方法以提高人们对信息与通信技术产品和服务的信任度。SAFECode 是一项全球性的、由行业主导的工作，旨在确定和推广最佳实践，以研发和提供更安全、可靠的软、硬件和服务。https:/safecode.org/2025云安全联盟大中华区版权所有7目 录致 谢.4行业合作伙伴.6简介.8概述.8高层支持与参与.10计划设计与实施.11将冠军带到挑战中.14通过安全意识和培训加强该计划.15计划持续运维与成效评估.17总结.19附录一：健康问题与讨论要点.21附录二：延伸阅读.22 2025云安全联

5、盟大中华区版权所有8简简介介云安全联盟（Cloud Security Alliance）和 SAFECode 都坚定地致力于改善软件安全成果。2019 年 8 月发布的论文DevSecOps 的六大支柱提供了一套高层次的方法和成功实施的解决方案，作者通过这些方法和解决方案来快速构建软件，并尽量减少与安全相关的错误。这六大支柱是支柱1：集体责任支柱2：培训和流程整合支柱3：务实的实现支柱4：建立合规与发展的桥梁支柱5：自动化支柱6：测量、监控、报告和行动云安全联盟（Cloud Security Alliance）和SAFECode将联合出版一套更为详细的出版物，介绍支撑上述每个支柱的成功解决方案

6、。本报告是这些后续出版物中的第一份。概概述述DevSecOps 将安全原则、流程和技术整合到持续的软件开发和 IT 运营文化中，从而影响其实践和工作流程。它将传统上相互隔离的开发、基础设施运营和信息安全领域汇聚在一起，通过一套共同的流程、程序和工具自动化，促进安全软件的开发。对 DevSecOps 兴趣的增加，部分是由于云计算优先的软件开发环境推动的，这种环境具有越来越短的产品生命周期、更迭代的开发方法以及开发 2025云安全联盟大中华区版权所有9和 IT 运营的日益集成。传统的安全开发方法往往难以满足那些在云环境中工作的人快速采用的持续开发方法的需求。将安全开发实践集成到DevOps 中需要