1、DevSecOps2020 DevSecOpsDevSecOps企业实践白皮书关于安全聚合力系列独行难、 众行远。 安全聚合力系列报告旨在凝聚网络安全业内甲方安全专家， 共同产出指导性、 前瞻性的技术及行业实践研究报告， 为企业提供更详实、 更易落地的同行业安全建设参考。关于报告DevSecOps作为安全领域中逐渐步入成熟期的技术体系， 从最初的理念到如今少量的成功实践案例， 中间经历了大量的探索与发展。 如今， 很多企业已经意识到DevSecOps的重要性并想要有所实践， 但仍然面临大量挑战。本次FreeBuf咨询邀请 研发运营一体化 （DevOps） 能力成熟度模型 部分编者及国内DevS

2、ecOps实践先行者携程、 腾讯、国内某知名金融机构等分别从DevSecOps工具链及企业落地实践等方面深入探索研究， 共同输出一份DevSecOps企业实践白皮书， 为企业CSO提供安全建设的有效参考。关于 FreeBuf 咨询FreeBuf.COM网络安全行业门户， 每日发布专业的安全资讯、 技术剖析， 分享国内外安全资源与行业洞见， 是网络安全从业者与爱好者广泛关注的行业社区平台。 FreeBuf咨询集结了安全行业经验丰富的安全专家和分析师, 依托FreeBuf 安全智库， 常年对信息安全技术、 行业动态保持追踪, 洞悉安全行业现状和趋势, 呈现最专业的研究与咨询服务。DevSecOps

3、企业实践白皮书报告出品团队甲方专家 （按姓名首字母排序）FreeBuf咨询出品人/ 尤文、 鲍弘捷、 高冰洋编者/ 武文婧、 周雪静、 张志鹏 顾问/ 徐钟豪行业分析师/ 宋丹丹设计指导/ 姚媛携程信息安全高级总监， 15年信息安全工作经验， 大学时便活跃于各类黑客论坛和黑客杂志， 曾在多个技术峰会Qcon、 Gitc、 Xfungfoo发表主题演讲凌 云赵 锐世界500强企业中国区信息安全和风险负责人， 国家网络安全周 （上海） 网络安全金牌讲师、 DevOps标准工作组核心编写专家， CSA云安全联盟专家、 CCSF优秀首席信息安全官庄 飞金融机构应用安全负责人， 15年+产品研发及安全从

4、业经历， DevOps峰会金牌讲师， DevOps标准编写专家， 曾在EISS、 DOIS、 TiD， CIS等峰会发表主题演讲张 祖 优腾讯云产品安全负责人， 腾讯安全云鼎实验室高级安全工程师， 12年安全攻防经验， 曾在KCon、 WOT、ISF、 QCon、 BlackHat、 网络安全创新大会、 DevOps在线峰会等发表主题演讲， Seebug创始人，Pocsuite核心开发者DevSecOps企业实践白皮书CHAPTERONE第一章 2020DevSecOps国内发展现状1.1 DevOps 安全挑战及转型1.2 DevSecOps 国内发展现状0202052CHAPTERTWO第

5、二章DevSecOps 合规趋势：研发运营一体化（DevOps）能力成熟度模型 3CHAPTERTHREE第三章企业 DevSecOps落地与指导 07080809073.1 DevSecOps 落地挑战3.2 DevSecOps 落地与指导3.2.1 安全文化变革3.2.2 安全左移流程3.2.3 构建DevSecOps工具链目 录C A T A L O GDevSecOps企业实践白皮书4CHAPTERFOUR第四章某金融机构DevSecOps 实践4.1 安全背景简介151521221414156CHAPTERSIX第六章总结与展望 5.4 企业安全工具链实践5.4.1 开源组件安全扫描

6、(SCA)5.4.2 源代码安全扫描 （SAST）5.4.3 交互式应用安全测试 （IAST）5.4.4 越权检测5.4.5 数据库审计5.4.6 漏洞全生命周期管理5CHAPTERFIVE第五章携程 DevSec-Ops 实践 5.1 安全背景介绍5.2 企业安全文化建设5.3 企业安全流程建设6.1 头部行业加快实践步伐6.2 实践需贴合企业属性6.3 安全是每个人的责任262627283031252526333334264.2 企业安全文化建设4.3 企业安全流程建设4.3.1 安全策略4.3.2 安全活动及工具链应用4.3.4 企业安全平台实践4.3.5 DevSecOps安全度量指标