nexus/wiki/concepts/DevSecOps.md

title, type, tags, sources, last_updated

title	type	tags	sources	last_updated
DevSecOps	concept	DevSecOps 安全 CI/CD 敏捷	sources/DevOps-Culture-and-Transformation.md	2026-04-15

定义

DevSecOps 是在 DevOps 流程中内置安全实践的方法论，通过将安全扫描、合规检查和漏洞修复集成到 CI/CD 流水线的每个阶段，实现"安全左移"（Shift-Left）。

核心原则

• 安全左移：在开发早期阶段引入安全检测，而非等到生产环境
• 自动化安全扫描：在构建、测试、部署各阶段自动执行安全检查
• 共享所有权：安全是开发、运维和安全团队共同责任

关键实践

• 静态应用安全测试（SAST）：代码级别安全分析
• 动态应用安全测试（DAST）：运行时行为安全测试
• 软件成分分析（SCA）：依赖项漏洞扫描
• 容器镜像扫描：检查基础镜像和依赖漏洞

关键工具

• SonarSource SonarQube：代码质量与安全静态分析
• Snyk：开源依赖与容器安全扫描
• SonarCloud：云端代码分析

在 DevOps 中的角色

• DevSecOps 是 DevOps 成熟度的重要标志
• 与 CI/CD Pipelines 深度集成，在部署前阻断安全漏洞
• 支撑 Agile 和 DevOps 的快速迭代同时保障安全合规

未来趋势

• AI 驱动的安全漏洞预测
• 零信任架构（Zero Trust Architecture）深度集成
• 实时威胁检测与响应自动化

Aliases

• DevSecOps
• 安全左移