2020BCS-北京网络安全大会：DevSecOps标准解读.pdf

1、DevSecOps标准解读 中国信通院云大所 牛晓玲 牛晓玲 中国信息通信研究院 云计算与大数据研究所 云计算部 副主任 DevOps标准工作组组长，DevOps 国际标准编辑人。长期从事云计 算领域开发运维研究的相关工作，包括云服务业务功能测试以及运维 管理系统审查等相关工作。参与编写云计算服务协议参考框架、 对象存储、云数据库、研发运营一体化（DevOps）能力 成熟度模型系列标准、云计算运维智能化通用评估方法等多项 标准20余项。参与多篇白皮书、调查报告等编制工作，包括企业IT 运维发展白皮书、中国DevOps现状调查报告（2019年）等。 参与评估DevOps能力成熟度评估超过40个项

2、目，具有丰富的标准编 制及评估测试经验。 DevOps的定义：“开发（Dev）”和“运维（Ops）”的缩写，是一组过程、方法与系统的统称，强调 业务人员及IT专业人员（开发、测试、运维等）在应用和服务生命周期中的协作和沟通；强调整个组织的 合作以及交付和基础设施变更的自动化，从而实现持续集成、持续部署和持续交付等的无缝集成。 DevSecOps的定义：是将信息安全的框架整合到DevOps的工作流程中，研发、运营、测试、安全多个部门 紧密协作，在提升开发和运营敏捷性的同时，也保障了数据和服务的可用性与安全性。 什什么么是是DevSecOpsDevSecOps？ 安全 概念 DevSecOps概念

3、示意图 DevSecOpsDevSecOps的的由由来来 2012 Gartner的报告中首次提出了 “DevOpsSec”这个概念 2012年 2017 在RSA年度大会上“DevSecOps”成为 了热门词汇， 它是一种对DevOps的延 展，DevSecOps提出安全是每个人的责 任。 2017年 2017-至今 DevOps的落地实践带动了DevSecOps的兴 起，强调将信息安全的能力整合到DevOps 的工作流程中，各部门重视安全，提升开 发和运营敏捷性。 至今 传统开发模式中，安全介入较晚，且安全部门独立于 软件开发、运维部门。 关关于于DevSecOpsDevSecOps的的几几点点理理解解？ 是一种安全的文化的渗透 是制度流程和工具的集合 是将安全性和合规性纳入软 件全生命周期的方法 是由学习和实践驱动的战略 Yes 不是一种一刀切的全能方法 不是单一工具或方法 不单是在