nexus/wiki/concepts/DevSecOps.md

title, type, tags, sources, last_updated

title	type	tags	sources	last_updated
DevSecOps	concept	DevOps Security SDLC	devsecops-best-practices.md devops-culture-transformation.md devops-maturity-model.md	2025-03-01

Summary

DevSecOps是将安全集成到DevOps生命周期每个阶段的实践，确保安全是共同责任。

Definition

DevSecOps = Development + Security + Operations，将安全实践嵌入整个软件开发生命周期。

Key Claims

• 70%发布后发现的安全漏洞可通过DevSecOps预防
• 安全不是最后检查，而是从编码开始就集成
• Shift Left：将安全缺陷识别提前到开发早期

Core Components

• 协作：开发、安全、运维团队共享安全责任
• 自动化：将安全测试集成到CI/CD流水线
• 测试：SAST、DAST、SCA、IAST

Connections

• DevOps成熟度模型 ← 包含 ← DevSecOps
• SDLC ← 集成 ← DevSecOps
• CI/CD ← 包含 ← 安全测试