---
title: "DevSecOps"
type: concept
tags: [devops, security, automation]
sources: [cloud-devop-maturity-guideline, How-Agentic-AI-can-help-for-Cloud-DevOps, what-is-devsecops-best-practices-benefits-and-tools]
last_updated: 2026-04-20
---

## Definition
DevSecOps 是将安全实践集成到 DevOps 流程中的方法论，强调通过自动化、持续合规和主动漏洞管理实现"安全左移"。DevSecOps 将安全职责从单独的安全团队转移到整个开发团队，使安全成为每个人的责任。

## Core Principles
- **安全左移（Shift Left）**：在开发生命周期早期嵌入安全检查
- **自动化安全**：将安全扫描集成到 CI/CD 流水线
- **持续合规**：自动化合规性检查和报告
- **主动漏洞管理**：持续扫描和修复漏洞
- **安全右移（Shift Right）**：发布后持续安全监控

## Key Practices
- 自动化 SAST（静态应用安全测试）
- 自动化 DAST（动态应用安全测试）
- 容器镜像安全扫描
- secrets 管理
- 安全编码
- 风险管理

## Key Tools
- SAST（静态应用安全测试）
- SCA（软件成分分析）
- IAST（交互式应用安全测试）
- DAST（动态应用安全测试）

## Connections
- [[DevOps]] ← extends ← [[DevSecOps]]
- [[CI/CD 流水线]] ← embeds ← [[DevSecOps]]
- [[SDLC]] ← integrates_with ← [[DevSecOps]]
- [[Policy-as-Code]] ← implements ← [[DevSecOps]]
- [[Shift Left]] ← is_a ← [[DevSecOps]]
- [[Shift Right]] ← requires ← [[DevSecOps]]
- [[Secure Coding]] ← enables ← [[DevSecOps]]
- [[Risk Management]] ← includes ← [[DevSecOps]]
- [[Access Control]] ← requires ← [[DevSecOps]]
- [[Immutable Infrastructure]] ← enhances ← [[DevSecOps]]
- [[监控可观测性]] ← depends_on ← [[DevSecOps]]