1、 2025 云安全联盟大中华区版权所有1 2025 云安全联盟大中华区版权所有2DevSecOps 工作组的官网地址是https:/cloudsecurityalliance.org/research/working-groups/devsecops/2025 云安全联盟 保留所有权利。您可以下载、存储、在计算机上显、查看、打印并链接到云安全联盟 https:/cloudsecurityalliance.org 但须遵守以下规定：(a)草案仅可于个、信息、商业途；(b)不得以任何式修改或更改草案；(c)不得重新分发草案；(d)不得删除商标、版权或其他声明。在遵循中华人民共和国著作权法相关条款情

2、况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。2025 云安全联盟大中华区版权所有4致致谢谢中中文文版版翻翻译译专专家家翻翻译译组组成成员员：高亚楠伏伟任卜宋博贺志生江澎林艺芳谢绍志王彪审审校校组组成成员员：李岩王彪（以上排名不分先后）2025 云安全联盟大中华区版权所有5英英文文版版编编写写专专家家主主要要作作者者：Dan GoraRoupe Sahans贡贡献献者者：Alex BrownDaniel ParkinMichael Roca审审阅阅者者：Roland MJulianna TchebotarevaTimothy ThatcherUdith WCSA 分分析析师师：J

3、osh BukerCSA 全全球球员员工工：Claire Lehnert在此感谢以上专家及单位。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给予雅正！联系邮箱researchc-；国际云安全联盟CSA公众号。2025 云安全联盟大中华区版权所有6目录致谢.4前言.8介绍.8目标.9目标读者.9使数据可观察.9脆弱性的可观测性.101.平均识别时间.102.平均补救时间.113.发展速度与脆弱性趋势相对应.11安全架构观察.124.威胁量.125.计量控制.136.计量安全措施.137.威胁模型燃尽.138.采用安全模型.149.威胁场景与网络风险映射.14事件响应的可观察性.1710.

4、平均检测时间（Mean time to detectMTTD）.1711.平均遏制时间（Mean time to containMTTC）.1712.平均恢复时间（Mean time to restore normality MTTRN）.18团队间的成熟度比较.19团队“Alpha”-低成熟度和效能.19团队“Beta”-中等成熟度和效能.19团队“Charlie”-高成熟度和效能.20三个团队之间的安全可观察性.20 2025 云安全联盟大中华区版权所有7跨团队的漏洞可观察性.20跨团队的安全架构可观察性.22跨团队的事件响应可观测性.25通过报告提高.28原则-使数据可访问和可观察.28

5、原则-突出改进机会.29原则-突出变化,推动持续改进.30原则-鼓励沟通和协作.30应用这些报告原则.31报告路线图.31结论.33附录 A：软件生命周期分解.33附录 B:衡量.35参考资料.40 2025 云安全联盟大中华区版权所有8前前言言云安全联盟和 SAFECode 都致力于改善软件安全成状况。2019 年 8 月发表的论文DevSecOps 的六个支柱提供了高端方法论和成功实施解决方案，作者们使用这些方法和解决方案可以快速构建软件，并最小化安全相关错误数量。这六个支柱是:支柱 1：集体责任（2020 年 2 月 20 日发布）支柱 2：协作与集成（2024 年 2 月 21 日发布

6、）支柱 3：务实的实现（2022 年 12 月 14 日发布）支柱 4：建立合规与发展的桥梁（2022 年 2 月 8 日发布）支柱 5：自动化（2020 年 7 月 6 日发布）支柱 6：测量、监控、报告和行动（2024 年 5 月发布）支撑这些支柱的成功解决方案是云安全联盟和 SAFECode 一系列更详细的联合出版物。本文是六个后续出版物的最后一篇。介介绍绍DevSecOps 举措的实施和维护可能需要几个月到几年的时间。在考虑人员、流程和工具的大规模变化时，持续测量 DevSecOps 的成功和失败是关键的差异化因素。“你无法管理你不能测量的事物”这句话十分正确，没有可操作的测量标准和可