30 lines
939 B
Markdown
30 lines
939 B
Markdown
---
|
||
title: "DevSecOps"
|
||
type: concept
|
||
tags: [DevOps, Security, SDLC]
|
||
sources: [devsecops-best-practices.md, devops-culture-transformation.md, devops-maturity-model.md]
|
||
last_updated: 2025-03-01
|
||
---
|
||
|
||
## Summary
|
||
DevSecOps是将安全集成到DevOps生命周期每个阶段的实践,确保安全是共同责任。
|
||
|
||
## Definition
|
||
DevSecOps = Development + Security + Operations,将安全实践嵌入整个软件开发生命周期。
|
||
|
||
## Key Claims
|
||
- 70%发布后发现的安全漏洞可通过DevSecOps预防
|
||
- 安全不是最后检查,而是从编码开始就集成
|
||
- Shift Left:将安全缺陷识别提前到开发早期
|
||
|
||
## Core Components
|
||
- 协作:开发、安全、运维团队共享安全责任
|
||
- 自动化:将安全测试集成到CI/CD流水线
|
||
- 测试:SAST、DAST、SCA、IAST
|
||
|
||
## Connections
|
||
- [[DevOps成熟度模型]] ← 包含 ← DevSecOps
|
||
- [[SDLC]] ← 集成 ← DevSecOps
|
||
- [[CI/CD]] ← 包含 ← 安全测试
|
||
|