本报告由Roupe Sahans撰写，云安全联盟（CSA）大中华区专家组织翻译并审校。报告深入探讨了DevSecOps的概念，即在软件开发生命周期中融入安全实践，强调了云原生技术在DevSecOps实施中的重要性。报告指出，云原生技术的高度弹性和自动化特性为DevSecOps提供了广阔的实施空间，使安全策略能够更好地集成到开发流程中。

报告中提到，DevSecOps的实施有助于企业提升合规和安全能力，实现快速交付的同时确保安全合规。DevSecOps是CSA顶级云安全专家课程（CSA ACSE）的一部分，旨在从应用程序和基础设施安全的视角，推动安全黄金流水线的实现。

报告详述了DevSecOps的六大支柱，包括集体责任、协作与整合、务实的实现、桥接合规与发展、自动化以及测量、监控、报告和行动。每个支柱都提供了一套高级方法和成功实施方案，以帮助组织快速构建软件并减少安全相关错误。

在技术层面，报告讨论了多种安全活动和实践，如威胁建模、安全用户故事、价值流安全映射、架构原则和制品、风险管理等。此外，还涉及了开发（编码）、集成与测试、交付与部署以及运行时防御和监测等阶段的安全实践。

报告还强调了文化、人员、流程和技术在成功实施DevSecOps中的关键作用。特别指出，人是DevSecOps转型的关键推动者，而文化则能够加快速度并提高绩效。技术和流程是DevSecOps实务的基础，而自动化和持续的测量、监控、报告和行动是确保安全的关键。

最后，报告提供了关于DevSecOps实施的一系列实际职责和活动指南，旨在帮助数字安全领导者做出务实决策，并将安全性嵌入到SDLC和DevOps的现有工作流程中。报告建议组织将其DevSecOps实施视为一项迭代的持续改进工作，而不是一次性的瀑布项目。

来源：CSA