互联网：DevSecOps的六大支柱：集体责任

　　DevSecOps 将安全原则、流程和技术整合到持续的软件开发和 IT 运营文化中，从而影响其实践和工作流程。它将传统上相互隔离的开发、基础设施运营和信息安全领域汇聚在一起，通过一套共同的流程、程序和工具自动化，促进安全软件的开发。

　　对 DevSecOps 兴趣的增加，部分是由于云计算优先的软件开发环境推动的，这种环境具有越来越短的产品生命周期、更迭代的开发方法以及开发和 IT 运营的日益集成。传统的安全开发方法往往难以满足那些在云环境中工作的人快速采用的持续开发方法的需求。将安全开发实践集成到DevOps 中需要一种更敏捷的安全方法，包括增加安全流程的自动化、更周到和务实的安全实施规划、更明确地列举风险和合规要求，以及更具操作性 的 监 控 和 测 量 方 法 。 此 外 ， 要 使 所 有 这 些 元 素 作 为 一 个 整 体 的DevSecOps 方法协同工作，需要每个接触该流程的人都有集体安全责任意识。

　　鉴于对 DevSecOps 的兴趣增加，云安全联盟（CSA）和软件保证卓越代码论坛（SAFECode）组成了一个 DevSecOps 工作组，以识别和分享开发和维持 DevSecOps 项目的最佳实践。作为第一步，工作组根据 CSA 的反射性安全框架中描述的六大支柱，确定并定义了将 DevSecOps 集成到组织中的六个关键关注领域。随着时间的推移，我们将重新审视并建立每个DevSecOps 支柱的更详细的研究和指导，以维护特定行业的标准。本文是计划中的系列文章的一部分，将重点关注 arguably 其他所有支柱基础的领域 —— 集体责任。

　　培养集体安全责任意识不仅是将安全融入 DevOps 环境的重要组成部分，也是最具挑战性的任务之一。这需要培养组织在软件安全方面的思维方式、理念、习俗和行为的转变。在本报告中，我们将这种努力称为构建支持安全的文化。这种文化的一些显著特征包括以下特点：

　　实施安全设计的心态：在软件开发和运营的每个阶段都考虑和解决安全问题。安全不是事后的想法，也不是仅仅通过审计发现来处理的问题。

　　一种全员参与——从开发到 IT 运营再到高层管理——在确保软件安全方面发挥作用，并作为组织应对当今复杂威胁环境的第一道防线的意识。

　　强调个人责任和信任。这种方法使自主性和敏捷性得以增强，提供必要的安全信息和工具，以便进行知情的分散式行动和决策。这与传统上限制性较强、手动密集且相互隔离的安全流程有所不同。

　　明确认识到安全并非与业务目标分开或截然不同，因此，积极的安全行为和激励措施之间存在明确且可识别的一致性，并且相信团队成员在其安全工作中会得到支持。

　　尽管关于培养支持安全的文化的必要性已有大量著作，但它仍然是DevSecOps 执行过程中最常被提及的挑战之一。文化通常被描述为组织的一个关键但无形的要素。不幸的是，这可能导致一种相当临时的文化变革方法。在软件安全方面，这通常表现为偶尔的黑客马拉松或漏洞清理活动，或者可能是关于软件安全实践价值的年度培训课程。这并不是说这些活动没有价值，而是说如果它们没有在团队目标的背景下呈现、没有得到加强，或者没有包括正确的受众，它们的影响是有限的。在周期开始时引入安全知识和培训可以帮助避免这些临时会议的需要

点击复制链接查看完整PDF研报

云安全联盟