三項第一！天翼雲透過DevSecOps能力成熟度評估認證

10月28日，第十九屆GOPS全球運維大會在上海召開，中國資訊通訊研究院雲端計算與大資料研究所副所長魏凱先生隆重公佈，天翼雲《研發運營一體化（DevOps）能力成熟度模型 第6部分：安全及風險管理》能力成熟度評估結果，天翼雲順利透過1+級能力成熟度評估，成為業內 第一家透過本評估的雲服務商，第一家透過本評估的運營商，第一家同時透過安全開發、安全運營、安全交付三項評估的企業， 標誌著天翼雲在安全能力建設、研發體系、效能領域達到了業內先進水平。

 

 

《研發運營一體化（ DevOps）能力成熟度模型》系列標準是由中國資訊通訊研究院牽頭，雲端計算開源產業聯盟、高效運維社群、BATJ等頂級網際網路公司以及各大金融、通訊企業共同制定的國內外首個DevOps系列標準，是最完整、最權威、最具行業指導性的研發運營一體化（DevOps）能力標準之一。DevSecOps是一套基於DevOps體系的安全實踐框架，透過一系列的安全控制措施，將安全性整合到軟體交付流程的各個階段，賦能研發團隊高效安全交付業務價值。

 

 

DevSecOps安全及風險管理能力成熟度評估，包含4個大項、15個子項、90餘小項，透過現場訪談、能力演示、專家評審等形式進行評估，最終天翼雲順利透過評估。
天翼雲 DevSecOps在開發、交付、運營各環節進行全方位的安全能力建設，形成完善的研發運營一體化安全管控體系，主要表現為：

01需求設計階段

結合行業、公司安全要求和法律法規，制定安全需求，透過威脅建模工具，識別潛在的安全漏洞和安全威脅，從源頭上保證產品的合規性；

02開發測試階段

整合 SAST、SCA等安全掃描工具，對編碼規範、開源元件安全性等進行掃描，並設定質量門禁，保障交付階段產品的安全性；建立專門的測試用例和測試構成，結合DAST動態測試工具，可以多方位驗證應用程式的安全性；

03釋出部署階段

在流程中設定專門的安全稽核點，對相關材料進行稽核，實現安全管控的閉環管理；

04運營階段

建立完善的監控和預警機制，及早發現安全問題並高效處理。

透過此次 DevSecOps標準評估，天翼雲全面提升了其核心安全能力、安全管理能力與平臺基礎能力。 這是天翼雲在 DevSecOps實踐領域的一個重要里程碑，也表明天翼雲安全體系建設獲得業界認可。天翼雲將推進“安全左移”，全面覆蓋安全需求、安全設計、安全開發、安全測試、安全釋出等系統開發全生命週期，全方位賦能應用安全開發管理，助力天翼雲成為安全可信的雲。
未來，天翼雲將把 DevSecOps作為安全質量的核心理念，將其貫穿於雲原生業務的應用安全、網路安全、資料安全、雲原生安全四大核心技術領域，覆蓋“雲網邊端”等各類產品，橫向賦能客戶接入場景，縱深切入場景，為千行百業的客戶提供更優質的服務。