56 lines
2.2 KiB
Markdown
56 lines
2.2 KiB
Markdown
---
|
||
title: "DevSecOps"
|
||
type: concept
|
||
tags: [devops, security, sdlc, automation, ci-cd]
|
||
sources: ["what-is-devsecops-best-practices-benefits-and-tools"]
|
||
last_updated: 2025-12-19
|
||
---
|
||
|
||
## Definition
|
||
|
||
DevSecOps(Development + Security + Operations)是一种将安全实践深度嵌入软件开发生命周期(SDLC)全程的工作方法论,使安全成为开发、安全、运营三团队的共同责任,而非独立的末端检查环节。
|
||
|
||
## Core Principles
|
||
|
||
- **Security as Code**:以代码形式定义安全策略,实现自动化执行和版本控制
|
||
- **Shift Left**:在开发周期早期发现并修复安全漏洞,降低修复成本
|
||
- **Shift Right**:在应用上线后持续进行安全监控,快速响应新发现漏洞
|
||
- **Shared Responsibility**:全员对安全负责,而非仅依赖安全团队
|
||
- **Automation First**:将安全测试集成到 CI/CD 流水线,减少人工干预
|
||
|
||
## Key Tools
|
||
|
||
| 工具类型 | 说明 | 典型工具 |
|
||
|---------|------|---------|
|
||
| [[SAST]] | 静态代码分析,编码阶段使用 | SonarQube, Checkmarx |
|
||
| [[DAST]] | 动态渗透测试,模拟外部攻击 | OWASP ZAP, Burp Suite |
|
||
| [[SCA]] | 软件成分分析,扫描第三方依赖漏洞 | Snyk, Dependabot |
|
||
| [[IAST]] | 运行时交互式测试,测试阶段使用 | Contrast Security |
|
||
|
||
## Relationship with DevOps
|
||
|
||
DevSecOps 是 [[DevOps]] 的安全扩展:
|
||
- DevOps 强调开发与运营协作,追求速度与效率
|
||
- DevSecOps 在 DevOps 基础上全程嵌入安全实践
|
||
- 两者共享 CI/CD 流水线文化,但 DevSecOps 在每个阶段加入安全门控
|
||
|
||
## Key Metrics
|
||
|
||
- 据报告,**70% 的上线后发现的安全漏洞**可通过 DevSecOps 实践预防
|
||
- "break the build" 机制:在安全风险超阈值时自动停止构建流程
|
||
- 安全漏洞修复成本:开发早期修复成本仅为上线后的 1/100 ~ 1/10
|
||
|
||
## Related Concepts
|
||
|
||
- [[Shift Left]] — 在开发早期识别安全缺陷
|
||
- [[Shift Right]] — 上线后持续安全监控
|
||
- [[Policy as Code]] — 安全策略即代码
|
||
- [[CI/CD 安全]] — CI/CD 流水线中的安全自动化
|
||
- [[OWASP Top Ten]] — Web 应用安全标准
|
||
|
||
## Aliases
|
||
|
||
- SecOps (Security Operations)
|
||
- DevOpsSec
|
||
- Secure DevOps
|