应用安全
DevSecOps
别称: SecDevOps, Rugged DevOps
定义
一种将安全责任融入 DevOps 流程的文化与实践,使团队能够持续、高效地交付安全的软件。
DevSecOps 是 DevOps 的延伸,把安全视为研发、安全与运维共担的责任,而不是上线前的最后一道关卡。它将 SAST、SCA、密钥扫描、容器扫描、IaC 检查、DAST 与策略即代码等控制内置到 CI/CD 流水线中,在开发者已经使用的工作流中暴露问题。同时强调文化变革:安全大使、无指责复盘、可视化的安全 KPI 与自助化工具。良好实施可缩短平均修复时间、降低漏洞流入生产环境的比例、减少合规摩擦,同时保持较高的发布频率。
示例
- 在 GitHub Actions 中,对每个 Pull Request 运行 Trivy、Semgrep 与 Gitleaks。
- 在 Terraform 计划应用前,使用 OPA/Conftest 执行策略即代码检查。
相关术语
应用安全(AppSec)
一门围绕软件全生命周期开展的学科,通过设计、构建、测试与运营,使软件能够抵御滥用、篡改和未授权访问。
安全软件开发生命周期(SSDLC)
将安全活动嵌入软件交付各阶段(需求、设计、编码、测试、发布与运维)的开发生命周期。
安全左移(Shift-Left Security)
把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。
SAST(静态应用安全测试)
在不执行代码的前提下,对源代码、字节码或二进制进行自动化分析,以发现注入、不安全 API 或弱加密等安全缺陷。
SCA(软件成分分析)
对应用使用的开源与第三方组件进行自动化分析,识别已知漏洞、许可证风险以及过时或高风险依赖。
Secure Coding
Secure Coding — definition coming soon.