Page 42 - 《软件学报》2021年第10期
P. 42
软件学报 ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac.cn
Journal of Software,2021,32(10):30143035 [doi: 10.13328/j.cnki.jos.006276] http://www.jos.org.cn
©中国科学院软件研究所版权所有. Tel: +86-10-62562563
DevSecOps:DevOps 下实现持续安全的实践探索
1,2
1,2
1,2
3
1,2
戴启铭 , 毛润丰 , 黄 璜 , 荣国平 , 沈海峰 , 邵 栋 1,2
1
(计算机软件新技术国家重点实验室(南京大学),江苏 南京 210023)
2
(南京大学 软件学院,江苏 南京 210093)
3 (Discipline of Information Technology, Peter Faber Business School, Australian Catholic University, Sydney NSW 2060)
通讯作者: 邵栋, E-mail: dongshao@nju.edu.cn
摘 要: 国内外各大软件企业正广泛实施 DevOps 相关实践,以提高产品交付和部署频率.与此同时,面对日益严峻
的网络安全环境,软件系统中的安全问题日益凸显.耗时的安全实践因为快速交付,在软件开发活动中难以得到有效
贯彻.也正因如此,在开发和运维流程中有效集成安全控制手段,实现整个软件生命周期的持续安全,已成为各大企
业向 DevOps 转型过程中亟需思考的问题.DevSecOps 作为在 DevOps 下持续解决安全问题的有效方案,因此而受到
学术界和工业界的广泛关注,并逐渐成为软件工程领域的研究重点.近年来,随着 DevSecOps 的研究和实践发展,人
们对 DevSecOps 有了更全面的认识,也引入了更多安全实践.为此,从 DevSecOps 的背景、特征、实践、裨益和挑战
这 5 个方面进行了归纳和总结,首次向国内软件工程社区全面介绍 DevSecOps 的核心内容,重点阐述了 DevSecOps
最新的理论研究和工业界实践现状,进而为从业者实际落地 DevSecOps 提供参考,也为研究者探索 DevSecOps 提供
便利,并呼吁更多的研究者参与到 DevSecOps 的研究中来.
关键词: DevOps 安全;DevSecOps;持续安全;DevSecOps 实践
中图法分类号: TP311
中文引用格式: 戴启铭,毛润丰,黄璜,荣国平,沈海峰,邵栋.DevSecOps:DevOps 下实现持续安全的实践探索.软件学报,2021,
32(10):30143035. http://www.jos.org.cn/1000-9825/6276.htm
英文引用格式: Dai QM, Mao RF, Huang H, Rong GP, Shen HF, Shao D. DevSecOps: Exploring practices of realizing
continuous security in DevOps. Ruan Jian Xue Bao/Journal of Software, 2021,32(10):30143035 (in Chinese). http://www.jos.org.
cn/1000-9825/6276.htm
DevSecOps: Exploring Practices of Realizing Continuous Security in DevOps
3
DAI Qi-Ming 1,2 , MAO Run-Feng 1,2 , HUANG Huang 1,2 , RONG Guo-Ping 1,2 , SHEN Hai-Feng ,
SHAO Dong 1,2
1
(State Key Laboratory for Novel Software Technology (Nanjing University), Nanjing 210023, China)
2
(Software Institute, Nanjing University, Nanjing 210093, China)
3
(Discipline of Information Technology, Peter Faber Business School, Australian Catholic University, Sydney NSW 2060)
Abstract: DevOps practices have been widely implemented by software companies to increase the frequency of product delivery and
deployment. However, faced the increasingly challenging network security, security problems in software systems are becoming
prominent. Time-consuming security practices are difficult to be effectively implemented in software development activities because of
rapid delivery. Integration of security control measures into software processes to realize continuous security needs to be urgently
基金项目: 国家自然科学基金(62072227, 61802173); 国家重点研发计划(2019YFE0105500); 江苏省政府间双边创新项目
(BZ2020017); 南京大学计算机软件新技术国家重点实验室创新项目(ZZKT2019B01)
Foundation item: National Natural Science Foundation of China (62072227, 61802173); National Key Research and Development
Program of China (2019YFE0105500); Intergovernmental Bilateral Innovation Project of Jiangsu Province of China (BZ2020017);
Innovation Project of State Key Laboratory for Novel Software Technology (Nanjing University) (ZZKT2019B01)
收稿时间: 2020-09-15; 修改时间: 2020-10-26; 采用时间: 2020-12-15; jos 在线出版时间: 2021-01-15
