DevSecOps平台
“DevSecOps平台”描述了DevSecOps平台作为建设自动化流水线的基础设施,是如何进行自动化安全管理的。相关实践主要包括了“使用自动化管理平台进行安全管理”。
DevSecOps平台
- 使用自动化管理平台进行安全管理
自动化管理(DevSecOps)平台支撑着安全活动实施过程,其本身的能力高低决定着安全活动的落地效果。基于以上考虑,DevSecOps平台需要具备5大能力,分别是安全工具的集成能力、数据的管理能力、权限的控制能力、日志记录的能力和SDL量化的能力。安全工具的集成能力评价了DevSecOps平台是否能够对接AST、SCA、Fuzzing等类型安全工具,对接和调用的方式是否丰富足够兼容,以及配置是否灵活等;数据的管理能力评价DevSecOps平台对数据的集成、数据的备份策略、数据的传输安全等是否有做到充分的管理;权限的控制能力评价了DevSecOps平台是否支持统一的权限校验、对不同类型访问的权限控制和校验、对权限本身的分配、授权、撤销的策略等;日志记录的能力评价DevSeOps平台是否支持日志记录,日志记录的方式、以及对日志的管理模式等;SDL量化的能力评价系统是否建立了平台级的数据统一管理、展示,是否能实现企业级、部门级、项目级等不同维度的SDL能力量化展示,支撑企业安全决策的能力。
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!
