北京老李：首批CSA CCSK、CCPTP、DevSecOps、 CBP、ACSE讲师、首批CDSP讲师、EXIN DevOps Master（大师级）讲师(首批全国十名)、国内首批EXIN Product Owner讲师（首批全国十名）、EXIN授权EXIN Agile Scrum Master讲师、首批ITIL Expert讲师、PMI-ACP讲师中国“黄埔一期”TTT、Lean IT 认证讲师、PMP、Prince2专家级、EXIN云安全管理、EXIN 云服务管理、国内首批APMG 信息安全官（CISO）TTT、ISO27001 LA、ISO20000 LA等多项认证。先后在北京、上海、广州等地主导软件开发、系统集成、咨询服务等工作，主要研究方向云安全管理、敏捷与DevSecOps落地实施1.IT合规发展与DevSecOps

今天的企业合规性随着《网安法》、《数安法》、《个保法》的相随执行，合规合法对于企业来讲变得越来越重要。IT合规发展从最早的业务合规框架，发展到自有IT合规框架到一体化整体框架，也经历了近30年的发展。

1992年， COSO(The Committee of Sponsoring Organizations of the Treadway Commission)内部控制综合框架诞生，标志着内控与合规做为企业治理的框架初次成形 。

1996年，COBIT（Control Objectives for Information and related Technology）是国际上通用的信息系统审计的标准，由信息系统审计与控制协会（ISACA）发布，它标志着企业在商业风险、控制需求和技术管理之间架起了一座桥梁，满足多方面的管理要求。

1986年，IT运维最佳实践标准ITIL(Information Technology Infrastructure Library)第一版相关管理文献陆续发布。2000年ITIL修订第二版，围绕以服务台为核心，以服务级别为导向的运营体系发布，成为很多企业支撑COBIT实现IT运维内控与合规管理体系的重要支柱，在企业中发挥着定海神针的作用。

1995年，英国基于BS7799标准提交了ISO/IEC 27001的前身即ISO/IEC 17799:2000版，2007年正式发布ISO/IEC27001：2005版，使企业实现了对信息安全管理管理的体系与管理框架，随着国内外安全相关的法律与法规逐渐陆续发布，ISO/IEC27001与众多实践标准一起支撑起企业的合规与内控的工作。

2007 年， DevOps之父Patrick Debois 参与了比利时政府的一个下属部门的大型数据中心迁移项目，首次提出DevOps概念，管理理念整合了精益、敏捷、持续交付以及轻量级ITSM（ITIL）形成基于业务敏捷的DevOps2.0框架。并于2009年开展DevOps这一运动，使业务敏捷化发展到前所未有的高度。

2012年，DevSecOps的概念最早出现在Gartner员工Neil MacDonald的一篇博客文章中，其核心说明DevOps不包含信息安全是不完整的，这代表了IT中又出现了另一个管理孤岛。

同年，Gartner正式提出了DevSecOps的理念与管理模型。DevSecOps 的核心理念是将安全防护融入到IT交付流水线中，有机地融入传统的 DevOps 中，为研发安全提供强有力保证，实现端到端的业务敏捷。

2.误解与DevSecOps

2017年10月《DevOps Handbook》提出了几个重要的DevOps误区,其中很多DevOps的实践者认为DevOps与信息安全、合规、ITIL不兼容，这是非常错误的思想与实践。

传统的控制方式，尤其是基于严格的ITIL、ISO/IEC27001实践的企业，都会有一个误区，认为严格的审批流程以及安全审查是无法与DevOps（DevSecOps）的高效率进行适配，但随着基于DevOps的AIops以及云原生的兴起，也让更多的企业看到，今天实现DevOps可以更加高效与安全性与合规，即DevSecOps的实践落地具有了更加全面的模式。这也是随着新兴技术人工智能（AI）、云、区块链、5G等新兴技术的应用，让更多的企业看到了DevOps与合规在技术层面、管理层面、合规层面、治理层面，帮助企业实现了高层的一致性。

尤其是DevSecOps模式的出现，DevSecOps在软件开发过程的每个阶段集成安全测试的实践。它包括鼓励开发人员、安全专家和运营团队之间协作的工具和流程，以构建既高效又安全的软件。DevSecOps 带来了文化转型，使安全成为开发软件的每个人的共同责任，使安全、合规、内控提升了效率与质量的完美平衡。

3.DevSecOps原则

1、需要组织和文化建设：DevOps以及DevSecOps的核心是一种新的方法论，是一种 文化导向的新思维，只有组织充分地认识到DevOps的价值与误区，才能建立企业级的每天多次部署、达到世界级的稳定性、可靠性、可用性和安全性。【1】

2、默认安全：默认安全的原则并不仅仅限于代码，Web接入层上默认覆盖的WAF、默认安全配置的云原生安全（云、容器、持续交付、微服务）、数据安全、零信任（Zero Trust）安全等，默认安全或叫安全预设都是最佳实践。

3、安全左移：这是DevOps的核心理念，在《DevOps精要：业务视角》【2】提出，实现左移，在更早的IT环节中实现设计安全、编码安全、自动测试安全，即保证DevOps自身的安全也要保证业务的安全。

4、运行时安全：结合ITIL以及ITSM更加广泛的实现，运行时安全是管控风险的重要表现，监管控（异常监控、全面管理、动态布控）以及引入自动化的风险监控及AI预测的手段和机制。提升系统可用性、安全性、连续性等ITIL的重点能力。

5、持续集成和交付：持续集成和交付是DevOps的核心，持续交付是DevOps实现安全、合规、治理的最佳决策点，而非持续部署。DevOps融入安全性实现DevOps，也是建立合规与发展的桥梁。不仅仅实现高效率，并且实现合规管控的平衡。

6、基础设施即代码：尤其是大规模场景下配置、环境和系统行为等的一致性，通过自动化技术实现调度化与规模化，确保合规化、可审核化的安全实现，减少攻击者发现和利用运维漏洞的机会。

7、安全服务自动化及自助化：实现安全服务的自动化与自助化，有利于加快持续交付流水线的交付效率与速度，向各层级人员提供安全服务自助化有利于节省IT人员资源，自动化与自助化结合有利于释放IT产能，并实现业务的一站式服务。 4.报告精要解读

云安全联盟大中华区发布《DevSecOps-支柱4建立合规与发展的桥梁》，DevSecOps是基于DevOps的安全敏捷化的一场变革，DevSecOps的出现也改变了安全解决方案及安全合规的新思维。CSA针对于DevSecOps提出了六大支柱，分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。

文末附报告获取方式

组织可以通过工具直接快速地解决风险，但他们很容易忽视DevSecOps转型中适当思维模式的重要性。思维模式是一种方法，以一组活动的形式由安全和产品的利益相关方（例如，软件开发人员）所采用，通常可以使两个孤立的团队更紧密地联系在一起。有助于弥合安全和软件开发之间价值冲突的关键考虑因素有：

• 价值流映射：确定团队、交付时间和处理时间，以了解工作流如何从想法变成客户输出。这提供了一个通过手动或自动化来识别安全参与的机会。

• 将合规目标转换为安全措施：如何将目标打包成供开发人员使用的安全措施。

• 流水线监控：在不妨碍生产力的情况下对开发人员活动的控制措施进行监控和维护。

通常安全和合规性活动是手动进行的，并形成安全质量门禁，这使得过程繁重并有可能影响到交付时间。为了应对这一挑战，合规性必须是”持续的”，这样才能不断审查安全性并将其集成到代码中。 作为交付流水线的一部分，证明符合共识的安全要求的能力将安全性集成到整个开发过程中。

DevSecOps的一个目标是"左移"安全，如将关键的安全控制作为应用程序开发过程的一个组成部分，而不是采取在交付点进行回顾性的审计活动的传统方法。

合规性的目标、政策、流程和控制通常源于合规框架、治理、风险和信息安全团队。对于大多数将合规与行业指南（例如ISO27001或NIST CSF）相匹配的具有成熟安全功能的组织来说，并不是新鲜事。

从传统的合规性过渡到更加动态的方法，需要打破安全合规和软件开发团队之间的隔阂（包括采用DevOps和网站可靠性工程的团队），将对DevSecOps的理解作为一种新的方法论融入文化和技术。

建立合规与发展的桥梁5.展望

SecOps和DevOps正在融合，形成一种新的运营模式,即安全开发运营一体化（DevSecOps），基于DevOps发展而来。新的DevSecOps模式，保证了企业在DevOps流水线运行SDLC的同时，保证了完全的合规性。当合规性检查在SDLC中向“左移”时，在保证速率的同时，解决了法律与监管的遵从性问题。

DevSecOps也是CSA高级云安全专家课程(CSA ACSE)的核心内容，DevSecOps是践行共享安全责任的文化表现，实现满足企业对监管或行业合规标准的管理要求。通过学习CSA DevSecOps合规与发展，帮助企业提升数字化合规的能力，实现基于风险的安全合规的新方案。6.参考文献

【1】 《DevOps Handbook》，2016年， IT Revolution Press

【2】 《DevOps精要：业务视角》，2020.清华大学出版社

致谢

《DevSecOps-支柱4 建立合规与发展的桥梁》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。

组长：李岩

翻译组：车洵、何国锋、何伊圣、贺志生、黄鹏华、江楠、苏泰泉、余晓光

研究协调员：卜宋博

感谢以下单位的支持与贡献：

中国电信研究院、华为、腾讯云

本文作者： 

李岩

CSA数字化安全(CCSK、CDSP、CBP、CCPTP)首批讲师、EXIN数字化转型课程(DevOps，业务敏捷，Scrum、看板、人工智能，云计算、云服务、云安全)首批讲师、ITIL数字化运营首批全系列讲师，PMI-ACP敏捷项目管理首批讲师。