1、 2 Version:2.0 Created:12 Jan 2022 Status:WIP|In Review|Approved Last Reviewed:16 May 2022,PDF Published:17 May 2022 Release Version:2.0 Final PDF Approvers X TheFoxAtWork X justincormack Version 2(May 2022)Contributors:Brandon Krieger,Cole Kennedy(TestifySec),Fatih Deirmenci(Ericsson Software Techn

2、ology),Frederick Kautz,Joel Bork,Marina Moore(NYU),Pushkar Joglekar(VMware),Savitha Raghunathan(Red Hat),Sayantani Saha(Independent)Reviewers:Jon Zeolla,nyrahul(Accuknox),Ragashree Shekar,Steven Hadfield,Kapil Bareja,Malini Bhandaru,Mikko Ylinen,Jonah Kowall(jkowall),Kuang Dahu,Ariel Shuper,Eric Li(

3、AlibabaCloud),Tanner Randolph(Applied Systems),Mark Dalton Gray(Microsoft),Ciara Carey,Brandon Lum(TAG Security Chair),Emily Fox(TOC Liaison)and Justin Cormack(TOC liaison).Version 2 in Chinese(September 2023)Translator and reviewers:aiaicaow,babysor,cafra,dwctua,gtb-togerther,hbrls,jinjia,knwng,los

4、ery,lovepoem,n3erox0,rootsongjc,victorjunlu,yzyunzhang(GitHub IDs)3 目录 执行摘要执行摘要 4 宗旨.4 生命周期阶段.4 推荐做法.6 结论.6 介绍介绍 7 目标受众.7 云原生目标.7 文档前提.8 云原生层次模型云原生层次模型 9 生命周期.10 开发.10 分发.12 部署.17 运行时环境.18 安全保障安全保障 31 威胁建模.31 用例：勒索软件（v2 新增）.35 安全原则.38 安全栈（v2 新增）.44 合规合规 44 监管审计.44 角色和用例.44 行业.45 用例：在欧盟法规下安全的保障金融机构运行

5、 v2 新增.46 云原生安全的演变云原生安全的演变 48 结论结论 50 缩略语和词汇表缩略语和词汇表 51 附录附录 53 版本一总结 v2 新增.53 新版本变化.53 反馈 v2 新增.53 安全软件开发框架（SSDF）v1.1 参考（v2 新增）.54 参考文献.55 致谢.57 4 执行摘要执行摘要 宗旨宗旨 技术行业已经转向被看作“云原生”的开发和部署模式。与此同时，技术、产品、标准和解决方案的生态系统正在扩展，促使决策者及时了解最新的复杂设计。特别是 CISO 的角色，需要在这个动态的领域中阐明业务价值主张。与此同时，云原生模式也推动了消费模型的转变，促进了现代工作流程的应用。

6、现代工作流程要求集成安全实践，例如敏捷方法论和 DevOps 流程。问题分析 由于明确关注快速开发和部署，因此该领域内的安全问题很复杂。此外，在传统的基于边界的安全模型中，依赖于网络 IP 地址等静态标识符是不切实际的。这种复杂性要求我们进行范式转变以保护应用程序安全，放弃基于边界的传统方式，让安全和工作负载（基于标签和标记等属性和元数据进行标识）的联系更加紧密。这种方法可以识别和保护负载，满足云原生应用程序对规模的要求，同时适应不断的变化。这些范式转变需要在应用程序生命周期中增加安全控制的自动化和安全设计架构（例如，零信任）。安全实现的权衡仍然涉及组织内的多个利益相关者，并且显著影响开发人员