DevSecOps 成熟度模型 2024

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查不安全的配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到攻击正在发生。检查组件中的恶意软件（例如。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗凭证冒充维护者。检查生产环境中容器的新镜像。风险：当镜像有新版本可用时，可能会修复安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中已有的漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发行说明可能会有所帮助。针对基础设施的软件组成分析可能有用，但通常颗粒过细。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：测试代码、容器镜像及历史记录中的密钥。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查是否存在不安全配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像年龄。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全的配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到可能发生的攻击。检查组件中是否存在恶意软件（例如。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 GitHub 项目并阅读发布说明可能会有所帮助。基础设施的软件组成分析可能有帮助，但通常过于细化。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：测试虚拟化环境的部署配置以查找不安全的配置。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查是否存在不安全配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查是否存在不安全配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全配置。检查日志中的关键字。风险：未意识到可能发生的攻击。检查组件中是否存在恶意软件（例如）。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发布说明可能会有帮助。基础设施的软件组成分析可能有用，但通常粒度太细。风险：基础设施组件（如容器镜像）中的已知漏洞可能被利用。标准：检查生产环境中容器的镜像版本或创建时间。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查是否存在不安全配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全的配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到可能发生的攻击。检查组件中是否存在恶意软件（例如）。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发布说明可能会有所帮助。基础设施的软件组成分析可能有助，但通常过于细致。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：测试虚拟化环境的未加固配置。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查是否存在不安全配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到攻击正在发生。检查组件中的恶意软件（例如。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已知的漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发布说明可能会有所帮助。基础设施的软件组成分析可能有帮助，但通常过于细化。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：借助工具测试虚拟环境的配置。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查是否存在不安全配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到攻击正在发生。检查组件中的恶意软件（例如。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已知的漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署不安全的制品，从而增加被利用的风险。订阅 Github 项目并阅读版本说明可能会有帮助。基础设施的软件组成分析可能有用，但通常颗粒过细。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：测试虚拟化环境中未安全配置的定义。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查是否存在不安全配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到攻击正在发生。检查组件中的恶意软件（例如。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗凭证冒充维护者。检查生产环境中容器的新镜像。风险：当镜像有新版本可用时，它可能修复安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发布说明可能会有所帮助。用于基础设施的软件组成分析可能有帮助，但通常过于细粒度。风险：基础设施组件（如容器镜像）中的已知漏洞可能被利用。标准：检查日志中的关键字。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查不安全的配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全的配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到可能发生的攻击。检查组件中是否存在恶意软件（例如）。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署不安全的制品，从而增加被利用的风险。订阅 Github 项目并阅读发行说明可能有帮助。基础设施的软件组成分析可能有帮助，但通常过于细致。风险：基础设施组件（如容器镜像）中的已知漏洞可能被利用。评估标准：检查组件中的恶意软件（例如容器镜像、虚拟机基础镜像、库）。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查不安全的配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全的配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到可能发生的攻击。检查组件中是否存在恶意软件（例如）。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中已有的漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发布说明可能会有帮助。基础设施的软件组成分析可能有用，但通常粒度过细。风险：基础设施组件（如容器镜像）中的已知漏洞可能被利用。标准：检查生产环境中容器的新镜像。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查是否存在不安全配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全的配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到可能发生的攻击。检查组件中是否存在恶意软件（例如）。容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发布说明可能会有所帮助。对基础设施进行软件组成分析可能有效，但通常过于细致。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：待办

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查不安全的配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到攻击正在发生。检查组件中的恶意软件（例如容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已存在的已知漏洞。该过程涉及将基础设施扫描中的现有漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 GitHub 项目并阅读发布说明可能会有所帮助。基础设施的软件组成分析可能有帮助，但通常过于细化。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。

测试代码、容器镜像和历史记录中的机密。风险：存储在 git 历史记录、容器镜像或代码中的机密不应存在，因为它们可能被未授权的人员访问。测试虚拟化环境的部署配置以检查不安全的配置。风险：部署配置（例如 Kubernetes 部署资源）可能包含不安全的配置。检查生产环境中容器的镜像版本。风险：生产环境中的老旧容器镜像表明未进行补丁管理，因此可能存在漏洞。测试虚拟化环境中的不安全配置。风险：虚拟化环境（例如通过容器镜像）可能包含不安全的配置。借助工具，对虚拟环境的配置进行测试。风险：未对云环境执行标准加固措施，可能导致漏洞。测试虚拟化环境的定义以检查不安全配置。风险：虚拟化环境的定义（例如通过 Dockerfile）可能包含不安全的配置。检查日志中的关键字。风险：未意识到攻击正在发生。检查组件中的恶意软件（例如容器镜像、虚拟机基线镜像、库）。风险：第三方可能包含恶意软件。可能是由于维护者的原因（例如：镜像名称拼写错误导致使用了错误的镜像），或者是攻击者利用被盗的维护者凭证进行的攻击。检查生产环境中容器的新镜像。风险：当镜像有新版本时，新版本可能修复了安全漏洞。这种做法确保新部署的容器或虚拟机镜像不会重新引入或延续当前基础设施中已知的漏洞。该过程涉及将基础设施扫描中存在的漏洞数据与更新镜像中的组件和依赖项进行交叉核对。通过持续将已知的安全问题与新镜像版本进行关联，组织可以在将潜在易受攻击的镜像部署到生产环境之前主动降低风险。风险：未能将基础设施中的已知漏洞与新镜像版本进行关联，可能导致无意间部署了不安全的工件，从而增加被利用的风险。订阅 Github 项目并阅读发布说明可能会有所帮助。基础设施的软件组成分析可能有助，但通常过于细致。风险：基础设施组件（如容器镜像）中的已知漏洞可能会被利用。标准：测试基础设施组件中的已知漏洞。通常，应对操作系统软件包中已知漏洞的唯一方法是接受风险并等待补丁。当补丁可用时需要尽快应用，因此这一活动依赖于“镜像的最大使用寿命”。