nexus/wiki/concepts/DevSecOps.md

title, type, tags, sources, last_updated

title	type	tags	sources	last_updated
DevSecOps	concept	devops security automation	cloud-devop-maturity-guideline How-Agentic-AI-can-help-for-Cloud-DevOps what-is-devsecops-best-practices-benefits-and-tools	2026-04-16

Definition

DevSecOps 是将安全实践集成到 DevOps 流程中的方法论，强调通过自动化、持续合规和主动漏洞管理实现"安全左移"。DevSecOps 将安全职责从单独的安全团队转移到整个开发团队，使安全成为每个人的责任。

Core Principles

• 安全左移（Shift Left）：在开发生命周期早期嵌入安全检查
• 自动化安全：将安全扫描集成到 CI/CD 流水线
• 持续合规：自动化合规性检查和报告
• 主动漏洞管理：持续扫描和修复漏洞

Key Practices

• 自动化 SAST（静态应用安全测试）
• 自动化 DAST（动态应用安全测试）
• 容器镜像安全扫描
• secrets 管理

Connections

• DevOps 成熟度模型 ← 安全维度 ← DevSecOps
• CI/CD 流水线 ← 集成 ← DevSecOps
• 监控可观测性 ← 依赖 ← DevSecOps