CISO助手
完成度
0%(0/189)
评估报告
DSOM

DevSecOps 成熟度模型 2024

成熟度模式

DevSecOps成熟度模型,帮助组织实施和改进DevSecOps实践。

版本: 2024覆盖状态: 完整覆盖 (378/378)控制项/量表/总计: 189/189/378当前展示: 7 / 1895 个分类

开发与源代码管理

7
I-SC-1-1Versioning成熟度实践
Implementation / 开发与源代码管理

版本工件以识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。风险:部署未跟踪的工件。定义源代码管理系统策略(例如,分支保护规则、至少一人的强制代码审查等)。)以确保对关键分支的更改只能在定义的条件下进行。这些策略可以在存储库级别或组织级别实施,具体取决于源代码管理系统。风险:对关键分支(如 main 或 master)的故意或意外修改。在版本控制平台上强制阻止强制推送。风险:滥用强制推送可能导致工作丢失。它可能在没有警告的情况下覆盖远程分支,可能会删除团队成员的重要贡献。这可能会破坏协作、造成数据丢失,并在开发过程中产生混乱。绕过拉取请求流程可能会移除重要的代码审查环节。这增加了将低质量或有缺陷的代码合并到主分支的风险,可能会在代码库中引入错误。实施一项政策:在拉取请求被批准后所做的任何提交将自动撤销该批准,从而需要进行新的审查和重新批准流程。风险:在关键分支(如 main 或 master)中,可能通过批准后提交代码的方式进行有意或无意的更改。在继续之前,强制执行与安全相关的指定状态检查,例如成功的构建或静态应用程序安全测试。风险:组织有可能将损坏的构建、质量问题和安全漏洞引入其代码库中。gitignore 文件有助于防止意外提交机密、调试信息或特定工作站的数据 风险:机密、调试信息或特定工作站数据的意外泄露 在 IDE 中集成静态代码分析工具。风险:不安全或难以维护的代码库。标准:对版本工件进行管理,以便识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。

评估
评估状态:
评估备注:
I-SC-2-1合并前需要提交拉取请求成熟度实践
Implementation / 开发与源代码管理

版本工件以识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。风险:部署未跟踪的工件。定义源代码管理系统策略(例如,分支保护规则、至少一人的强制代码审查等)。)以确保对关键分支的更改只能在定义的条件下进行。这些策略可以在存储库级别或组织级别实施,具体取决于源代码管理系统。风险:对关键分支(如 main 或 master)的故意或意外修改。在版本控制平台上强制阻止强制推送。风险:强制推送的误用可能导致工作丢失。它可能在没有警告的情况下覆盖远程分支,可能会删除团队成员的重要贡献。这可能会破坏协作、造成数据丢失,并在开发过程中产生混乱。绕过拉取请求流程可能会移除重要的代码审查环节。这增加了将低质量或有缺陷的代码合并到主分支的风险,可能会在代码库中引入错误。实施一项政策:在拉取请求被批准后所做的任何提交都会自动撤销该批准,从而需要进行新的审查和重新批准流程。风险:在关键分支(如 main 或 master)中,可能通过批准后提交代码的方式造成有意或无意的更改。在继续之前,强制执行与安全相关的特定状态检查,例如成功的构建或静态应用程序安全测试。风险:组织有可能将损坏的构建、质量问题和安全漏洞引入其代码库中。gitignore 文件有助于防止意外提交秘密信息、调试信息或特定工作站的数据 风险:秘密信息、调试信息或特定工作站数据的意外泄露 在 IDE 中集成静态代码分析工具。风险:不安全或不可维护的代码库。标准:定义源代码管理系统策略(例如:分支保护规则、强制代码审查等))以确保对关键分支的更改只能在定义的条件下进行。这些策略可以在仓库级别或组织级别实施,具体取决于源代码管理系统。

评估
评估状态:
评估备注:
I-SC-3-1阻止强制推送成熟度实践
Implementation / 开发与源代码管理

版本工件以识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。风险:部署未跟踪的工件。定义源代码管理系统策略(例如,分支保护规则、至少一人的强制代码审查等)。)以确保对关键分支的更改只能在定义的条件下进行。这些策略可以在存储库级别或组织级别实施,具体取决于源代码管理系统。风险:对关键分支(如 main 或 master)的故意或意外修改。在版本控制平台上强制阻止强制推送。风险:强制推送的误用可能导致工作丢失。它可能在没有警告的情况下覆盖远程分支,可能会删除团队成员的重要贡献。这可能会破坏协作、造成数据丢失,并在开发过程中产生混乱。绕过拉取请求流程可能会移除重要的代码审查环节。这增加了将低质量或有缺陷的代码合并到主分支的风险,可能会在代码库中引入错误。实施一项政策:在拉取请求被批准后所做的任何提交将自动撤销该批准,从而需要进行新的审查和重新批准流程。风险:在关键分支(如 main 或 master)中,可能通过批准后提交代码的方式进行有意或无意的更改。在继续之前,强制执行与安全相关的指定状态检查,例如成功的构建或静态应用程序安全测试。风险:组织有可能将损坏的构建、质量问题和安全漏洞引入其代码库中。gitignore 文件有助于防止秘密、调试信息或特定工作站数据的意外提交 风险:秘密、调试信息或特定工作站数据的意外泄露 在 IDE 中集成静态代码分析工具。风险:不安全或难以维护的代码库。标准:要求在版本控制平台上阻止强制推送。

评估
评估状态:
评估备注:
I-SC-3-2撤销过期的拉取请求审批成熟度实践
Implementation / 开发与源代码管理

版本工件以识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。风险:部署未跟踪的工件。定义源代码管理系统策略(例如,分支保护规则、至少一人的强制代码审查等)。)以确保对关键分支的更改只能在定义的条件下进行。这些策略可以在存储库级别或组织级别实施,具体取决于源代码管理系统。风险:对关键分支(如 main 或 master)的故意或意外修改。在版本控制平台上强制阻止强制推送。风险:滥用强制推送可能导致工作丢失。它可能在没有警告的情况下覆盖远程分支,可能会删除团队成员的重要贡献。这可能会破坏协作、造成数据丢失,并在开发过程中产生混乱。绕过拉取请求流程可能会移除重要的代码审查环节。这增加了将低质量或有缺陷的代码合并到主分支的风险,可能会在代码库中引入错误。实施一项政策:在拉取请求被批准后所做的任何提交将自动撤销该批准,从而需要进行新的审查和重新批准流程。风险:在关键分支(如 main 或 master)中,可能通过批准后提交代码的方式进行有意或无意的更改。在继续之前,强制执行与安全相关的指定状态检查,例如成功的构建或静态应用程序安全测试。风险:组织有可能将损坏的构建、质量问题和安全漏洞引入其代码库中。gitignore 文件有助于防止意外提交秘密、调试或工作站特定的数据 风险:意外泄露秘密、调试或工作站特定的数据 在 IDE 中集成静态代码分析工具。风险:代码库不安全或难以维护。标准:实施一项政策,即在拉取请求被批准后进行的任何提交都会自动撤销该批准,需要重新审核和再次批准。

评估
评估状态:
评估备注:
I-SC-3-3要求状态检查通过成熟度实践
Implementation / 开发与源代码管理

版本工件以识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。风险:部署未跟踪的工件。定义源代码管理系统策略(例如,分支保护规则、至少一人的强制代码审查等)。)以确保对关键分支的更改只能在定义的条件下进行。这些策略可以在存储库级别或组织级别实施,具体取决于源代码管理系统。风险:对关键分支(如 main 或 master)的故意或意外修改。在版本控制平台上强制阻止强制推送。风险:强制推送的误用可能导致工作丢失。它可能在没有警告的情况下覆盖远程分支,可能会删除团队成员的重要贡献。这可能会破坏协作、造成数据丢失,并在开发过程中产生混乱。绕过拉取请求流程可能会移除重要的代码审查环节。这增加了将低质量或有缺陷的代码合并到主分支的风险,可能会在代码库中引入错误。实施一项政策:在拉取请求被批准后所做的任何提交将自动撤销该批准,从而需要进行新的审查和重新批准流程。风险:在关键分支(如 main 或 master)中,可能通过批准后提交代码的方式进行有意或无意的更改。在继续之前,强制执行与安全相关的特定状态检查,例如成功的构建或静态应用程序安全测试。风险:组织有可能将损坏的构建、质量问题和安全漏洞引入其代码库中。gitignore 文件有助于防止意外提交机密信息、调试文件或特定工作站的数据 风险:机密信息、调试文件或特定工作站数据的意外泄露 在 IDE 中集成静态代码分析工具。风险:代码库不安全或难以维护。标准:在继续之前,必须通过与安全相关的指定状态检查,例如成功的构建或静态应用安全测试。

评估
评估状态:
评估备注:
I-SC-4-1.gitignore成熟度实践
Implementation / 开发与源代码管理

版本工件以识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。风险:部署未跟踪的工件。定义源代码管理系统策略(例如,分支保护规则、至少一人的强制代码审查等)。)以确保对关键分支的更改只能在定义的条件下进行。这些策略可以在存储库级别或组织级别实施,具体取决于源代码管理系统。风险:对关键分支(如 main 或 master)的故意或意外修改。在版本控制平台上强制阻止强制推送。风险:滥用强制推送可能导致工作丢失。它可能在没有警告的情况下覆盖远程分支,可能会删除团队成员的重要贡献。这可能会破坏协作、造成数据丢失,并在开发过程中产生混乱。绕过拉取请求流程可能会移除重要的代码审查环节。这增加了将低质量或有缺陷的代码合并到主分支的风险,可能会在代码库中引入错误。实施一项政策:在拉取请求被批准后所做的任何提交将自动撤销该批准,从而需要进行新的审查和重新批准流程。风险:在关键分支(如 main 或 master)中,可能通过批准后提交代码的方式进行有意或无意的更改。在继续之前,强制执行与安全相关的指定状态检查,例如成功的构建或静态应用程序安全测试。风险:组织有可能将损坏的构建、质量问题和安全漏洞引入其代码库中。.gitignore 文件有助于防止意外提交机密信息、调试信息或特定工作站的数据 风险:机密信息、调试信息或特定工作站数据的意外泄露 在 IDE 中集成静态代码分析工具。风险:代码库不安全或难以维护。标准:.gitignore 文件有助于防止意外提交机密信息、调试信息或特定工作站的数据

评估
评估状态:
评估备注:
I-SC-5-1执行本地开发的语法和风格检查成熟度实践
Implementation / 开发与源代码管理

版本工件以识别已部署的功能和问题。这包括应用程序和基础设施代码、Jenkins 配置、容器和虚拟机镜像。风险:部署未跟踪的工件。定义源代码管理系统策略(例如,分支保护规则、至少一人的强制代码审查等)。确保对关键分支的更改只能在特定条件下进行。这些策略可以在仓库级别或组织级别实施,具体取决于源代码管理系统。 风险:在关键分支(如 main 或 master)中进行故意或意外的更改。 在版本控制平台上强制阻止强制推送。 风险:滥用强制推送可能导致工作丢失。它可能在没有警告的情况下覆盖远程分支,可能会删除团队成员的重要贡献。这可能会破坏协作、造成数据丢失,并在开发过程中产生混乱。绕过拉取请求流程可能会移除重要的代码审查环节。这增加了将低质量或有缺陷的代码合并到主分支的风险,可能会在代码库中引入错误。实施一项政策:在拉取请求被批准后所做的任何提交都会自动撤销该批准,从而需要进行新的审查和重新批准流程。风险:在关键分支(如 main 或 master)中,可能通过批准后提交代码的方式进行有意或无意的更改。在继续之前,强制执行与安全相关的特定状态检查,例如成功的构建或静态应用程序安全测试。风险:组织有可能将损坏的构建、质量问题和安全漏洞引入其代码库中。gitignore 文件有助于防止意外提交机密、调试信息或工作站特定的数据 风险:机密、调试信息或工作站特定数据的意外泄露 在 IDE 中集成静态代码分析工具。风险:代码库不安全或难以维护。标准:在 IDE 中集成静态代码分析工具。

评估
评估状态:
评估备注: