DevSecOps 成熟度模型介绍

于 2024-01-29 10:55:08 发布
阅读量984 收藏 17
点赞数 22
分类专栏: 网络安全 # DevSecOps 文章标签: DevSecOps 自动化运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25409421/article/details/135906835
版权

目录

一、成熟度模型概述

1.1 概述

二、相关模型介绍

2.1 CSA DevSecOps 成熟度模型

2.1.1 模型信息概览

2.1.2 成熟度等级划分

2.1.2.1 I 级成熟度

2.1.2.2 II 级成熟度

2.1.2.3 III 级成熟度

2.1.3 DevSecOps 相关阶段内容成熟度划分

2.1.3.1 DevSecOps 成熟度划分表格

2.1.3.2 CSA DevSecOps 成熟度划分解读

2.1.4 总结

2.2 OWASP DevSecOps 成熟度模型

2.2.1 OWASP DevSecOps 成熟度模型概述

2.2.2 DSOMM 模型维度划分

2.2.2.1 DSOMM 模型维度划分表格

2.2.2.2 模型维度划分解读

2.2.2.3 DSOMM模型成熟度评估结果

2.2.3 总结

一、成熟度模型概述

1.1 概述

成熟度模型通常被用来评估一个组织或系统实现持续改进的能力,通过创建评估机制,收集各类数据加以分析,以评估当前流程、技术及体系运转的有效性,借鉴成熟度模型的分层,确定当前建设水平,规划未来的改进方向,以促进体系运转的不断迭代和自我更新。在DevSecOps体系建设过程中, DevSecOps成熟度模型通常和体系参考模型一样,被用来规划和指导后续DevSecOps工作的开展

在业界,DevSecOps的成熟度模型除了前文提及的DoD的成熟度模型外,还有美国总务管理局GSA提供的DevSecOps平台成熟度模型和全球开源网络安全组织OWASP的DSOMM成熟度模型,下面我们一起来学习一下其中的相关内容。

二、相关模型介绍

2.1 CSA DevSecOps 成熟度模型

2.1.1 模型信息概览

在美国总务管理局的技术网站上,提供了一份《DevSecOps指南》的文档,该文档中从DevSecOps平台能力建设的角度,对DevSecOps成熟度给出了参考指引,如图下图所示:

文中根据能力建设的成熟度和相关因素的不同,对DevSecOps平台能力建设划分3个成熟度等级,它们分别为:

I 级成熟度、II 级成熟度、III 级成熟度。

2.1.2 成熟度等级划分

2.1.2.1 I 级成熟度

I 级成熟度。 DevSecOps平台不可用,缺少基本的管理流程和管控措施。

2.1.2.2 II 级成熟度

II 级成熟度。 主要管理流程已具备,DevSecOps黄金管道已常态化运营,但关键环节的流程仍未打通,手工操作或人工干预较多。

2.1.2.3 III 级成熟度

III 级成熟度。 体系管理规范,有明确的定义与标准,安全自动化普及,人工参与只出现在特定的场景。

2.1.3 DevSecOps 相关阶段内容成熟度划分

2.1.3.1 DevSecOps 成熟度划分表格

2.1.3.2 CSA DevSecOps 成熟度划分解读

从以上表中内容可以看出,美国总务管理局对DevSecOps体系建设的理解是基于平台之上的,强调平台在整个DevSecOps体系建设的巨大作用。没有统一标准、多组织复用的平台工具,其DevSecOps成熟度是初级的。DevSecOps平台和应用程序管理在DevSecOps中是同样重要的,拥有DevSecOps平台也是DevSecOps成熟度向上迈步的基础。由初级成熟度迈向中级成熟度,标准流程、管道化作业环境、平台可用性、流程自动化是必不可少的条件。而高成熟度的DevSecOps建设水平,自动化能力既是基础,也是需要全面覆盖的技术前提,它包含平台、应用开发、测试、运维运营及项目管理的多个方面。

2.1.4 总结

美国总务管理局对DevSecOps成熟度进行三个等级划分,虽然划分层级过于粗粒度,没能很好地展现每一个层级的精细化差异,但其拥有众多可区分的责任领域,仍是一份很好的DevSecOps建设和评估指引,为不同类型的组织开展DevSecOps规划和持续改进指明下一步方向。

2.2 OWASP DevSecOps 成熟度模型

2.2.1 OWASP DevSecOps 成熟度模型概述

OWASP DevSecOps成熟度模型又简称DSOMM,它是一个开源的DevSecOps成熟度评估模型,从5个维度,18个子维度将DevSecOps的成熟度划分为4个等级,用于指导被评估企业如何开展DevSecOps实践。为了更好地了解这个模型,先一起来看看它的基本结构。

2.2.2 DSOMM 模型维度划分

2.2.2.1 DSOMM 模型维度划分表格

2.2.2.2 模型维度划分解读

在DSOMM模型中,先从组织文化、系统实现、构建与部署、测试验证、日志监控5个维度对软件开发过程做概要的阶段划分,并在每一个阶段继续划分更细的二级维度,最后定义每一个二级维度下开展的安全活动评估项。 通过对具体活动项的评估,来综合评估企业DevSecOps整体建设的成熟度。例如,日志监控维度下的二级维度安全日志,其安全活动项包含内容如下表所示:

2.2.2.3 DSOMM模型成熟度评估结果

当我们使用DSOMM时,通过对18个二级维度所包含的安全活动项的评估,最终会形成Level1~4的等级划分,如下图所示:

在上图中,越往外圆表示该维度的成熟度等级越高,而对于那些低于Level 4的安全活动,即是将要改进的方向。DevSecOps管理者可以根据企业的实际情况选择未来的改进重点在哪些维度上。

2.2.3 总结

从DSOMM的整体评估过程和评估项上看,和OpenSAMM模型非常相似,它更注重于DevSecOps实践的落地效果,评估项的设计也比较简洁,便于大多数安全从业人员上手操作。当然,也正是因为如此,DSOMM对DevSecOps平台建设的度量指标上没有精细的设计,更多的是管理和执行方面的要求或措施。

好了,本次内容就分享到这,欢迎大家关注《DevSecOps》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

夜夜流光相皎洁_小宁
关注
  • 22
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
YD/T 3763.1-2021 研发运营一体化(DevOps)能力成熟度模型
08-09
- YD/T 3763.1-2021 研发运营一体化(DevOps)能力成熟度模型 第1部分:总体架构 - YD/T 3763.2-2021 研发运营一体化(DevOps)能力成熟度模型 第2部分:敏捷开发管理 - YD/T 3763.3-2021 研发运营一体化(DevOps)...
DevOps 成熟度模型:当今世界的趋势和最佳实践
NewTyun的博客
04-20 122
新钛云服已为您服务1464天了解 DevOps 成熟度模型如何帮助组织评估其软件交付流程并更快地实施 DevOps 实践。创新对于推动组织的发展至关重要。诺基亚、柯达和百视达等公司曾经是各自行业的领导者,但未能创新并很快失去了大部分市场份额。消费者希望更快、更好、更实惠地解决他们的问题。您应该有适当的系统来尽快在市场上推出您的产品 - 而不会影响质量。DevOps 就是这...
DevSecOps 参考模型介绍
qq_25409421的博客
01-26 2007
在 DevSecOps的发展过程中,从DevSecOps理论的出现,到如今 DevSecOps 大量实践的落地,先后产生了一系列与DevSecOps有关的模型,这其中比较有代表性的模型分别是:DevOps 组织型模型、Gartner 普适性模型、DoD 实践型模型。今天我们就一起来分析下这些安全模型
Gartner Hype Cycle (技术成熟度曲线)
西京刀客
06-13 2502
Hype Cycle, 直译为炒作周期, 又称为技术成熟度曲线。 名为炒作,实是为了表示技术的受关注程度。这个模型由著名咨询公司Gartner发布,包含了Gartner对技术发展周期的预测。Hype Cycle提供给我们Gartner公司对各种技术所处的发展阶段和趋势的预测。............
首次全面解析云原生成熟度模型:解决企业「诊断难、规划难、选型难」问题
阿里云云栖号
09-14 1045
从“上云”到“云上”原生,云原生提供了最优用云路径,云原生的技术价值已被广泛认可。当前行业用户全面转型云原生已是大势所趋,用户侧云原生平台建设和应用云原生化改造进程正在加速。
DevSecOps的三种解读
03-03
DevSecOps和DevOps一样,可以有多种解释,前三种解释涉及人、过程和技术第一个含义是确保DevOps技术的安全性,这意味着调整现有的解决方案使其可用于新的技术栈,或者构建新的工具来解决新的安全问题第二个含义是...
百度的DevSecOps实践
02-23
在百度内部,业务研发模式有别于传统的SDLC模型,更接近于DevOps模式,CI/CD工具集成和自动化程度高,产品迭代频次多、周期短。面对这样的业务研发场景,传统通过输出人力到业务团队,全流程跟进和解决业务研发生命...
DevSecOps的理解与思考
03-01
“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。...
DevSecOps-MaturityModel
04-28
OWASP DevSecOps成熟度模型提供了强化DevOps策略的机会,并展示了如何确定这些策略的优先级。 借助DevOps策略,安全性也可以得到增强。 例如,可以测试docker映像中的每个组件(例如应用程序库和操作系统库)是否...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8237
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
一个Python工具箱,用于在PyTorch TensorFlow和JAX中创建欺骗神经网络的对抗性示例.zip
05-25
一个Python工具箱,用于在PyTorch TensorFlow和JAX中创建欺骗神经网络的对抗性示例
基于three.js实现一个由多个div构成的球体的运动,并以此为基础制作的一个小型游戏
05-25
【作品名称】:基于three.js实现一个由多个div构成的球体的运动,并以此为基础制作的一个小型游戏 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:基于three.js实现一个由多个div构成的球体的运动,并以此为基础制作的一个小型游戏
maven下载安装包全套软件安装
05-25
maven下载安装包全套软件安装
InnoSetup 自动化打包工具 支持多种语言
05-25
自动化打包工具
vgg模型-通过CNN卷积神经网络的是否是水果图片识别-不含数据集图片-含逐行注释和说明文档.zip
最新发布
05-25
vgg模型_通过CNN卷积神经网络的是否是水果图片识别-不含数据集图片-含逐行注释和说明文档 本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01生成txt.py,是
这是一个用Go语言编写的用于Windows的nodejs版本管理工具.zip
05-25
这是一个用Go语言编写的用于Windows的nodejs版本管理工具
densenet模型-基于人工智能的卷积网络训练识别行星表面地理特征分类-不含数据集图片-含逐行注释和说明文档.zip
05-25
densenet模型_基于人工智能的卷积网络训练识别行星表面地理特征分类-不含数据集图片-含逐行注释和说明文档 本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01生
alexnet模型-基于深度学习识别鸡蛋是否完好-不含数据集图片-含逐行注释和说明文档.zip
05-25
alexnet模型_基于深度学习识别鸡蛋是否完好-不含数据集图片-含逐行注释和说明文档 本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01生成txt.py,是将数据
Jenkins DevSecOps
07-28
Jenkins DevSecOps是指在Jenkins中集成安全操作的实践。Jenkins是一个免费且开源的自动化服务器,用于构建、测试和部署软件,实现持续集成和持续交付。\[3\]在Jenkins中进行DevSecOps实践可以通过集成安全工具来增强软件开发过程中的安全性。例如,可以使用OWASP Zap和Burp Suite Enterprise Edition等工具来进行Web应用程序安全测试。\[1\]\[2\]通过在Jenkins中集成这些工具,可以在构建和部署过程中自动执行安全测试,及时发现和修复潜在的安全漏洞,从而提高应用程序的安全性。 #### 引用[.reference_title] - *1* *2* *3* [jenkins ci/cd_DevSecOps:使用Jenkins和OWASP ZAP进行CI / CD Web应用程序测试。](https://blog.csdn.net/weixin_26746861/article/details/108176703)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值