DevSecOps-支柱4-建立合规与发展的桥梁

© 2023 云安全联盟大中华区版权所有1© 2023 云安全联盟大中华区版权所有2DeveSecOps 工作组的官方网址是：https://cloudsecurityalliance.org/research/working-groups/devsecops/@2023 云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b） 本文内容不得篡改；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。© 2023 云安全联盟大中华区版权所有3© 2023 云安全联盟大中华区版权所有4致谢《DevSecOps-支柱 4 建立合规与发展的桥梁（DevSecOps-Pillar4 Bridging Compliance andDevelopment）》由 CSA 工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：李岩翻译组：车洵何国锋何伊圣贺志生黄鹏华江楠苏泰泉余晓光审校组：何国锋江楠李岩研究协调员：卜宋博感谢以下单位的支持与贡献：中国电信股份有限公司研究院华为技术有限公司腾讯云计算（北京）有限责任公司© 2023 云安全联盟大中华区版权所有5英文版本编写专家主要作者：Souheil MoghnieTheodore NiedzialkowskiSam Sehgal贡献者：Michael RozaCSA 分析师：Sean Heide特别感谢：Ankur GargiRaj HandaManuel IflandJohn MartinKamran SadiqueCharanjeet SinghAltaz Valani在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给予雅正！ 联系邮箱 research@c-csa.cn；国际云安全联盟 CSA 公众号。© 2023 云安全联盟大中华区版权所有6序言DevSecOps 是基于 DevOps 的安全敏捷化的一场变革，DevSecOps 的出现也改变了安全解决方案及安全合规的新思维。CSA 针对 DevSecOps 提出了六大支柱，分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。理想模式下 DevSecOps 世界中的合规意味着客户能够管理偏离安全基线的情况，并通过实时数据的自我修复功能。DevSecOps 在实现速度和安全优先的同时，实现具有更加高效、更安全的持续交付。在 DevOps 名著《DevOps HandBook》中就指出测量对 DevOps 实践合规性的重要性。本白皮书以合规与发展为核心，提出在 DevSecOps 模式中的合规性目标是提高应用程序及环境的整体安全性，同时减少风险，以安全目标来验证持续交付。DevSecOps 也是 CSA 高级云安全专家课程（CSA ACSE）的核心内容，DevSecOps 是践行共享安全责任的文化表现，实现满足企业对监管或行业合规标准的管理要求。尤其是很多企业通过了 ISO/IEC27001、CSA Star 等认证。通过学习 CSA DevSecOps 合规与发展，帮助企业提升数字化合规的能力，实现基于风险的安全合规的新方案。李雨航 Yale LiCSA 大中华区主席兼研究院院长© 2023 云安全联盟大中华区版权所有7目录致谢............................................................................................................................................3序言............................................................................................................................................6前言............................................................................................................................................81 简介.........................................................................................................................................91.1 目标............................................................................................................................ 101.2 读者群体....................................................................................................................102 评估.......................................................................................................................................112.1 与云服务提供商的共担责任...................................................................................112.2 即时评估和持续评估................................................................................................133 心态.......................................................................................................................................153.1 使用价值流映射的合规性........................................................................................ 153.2 合规目标转化为安全措施................................