1
2NIST 特别出版物草案 800-204C
3 基于微服务的应⽤程序的
DevSecOps 实现
服务⽹格4
5
6
7
8
9
10
11
12
13
14拉⻢斯⽡⽶·钱德拉穆利
本出版物可从以下⽹址免费获取: https://
doi.org/ 10.6028/ NIST.SP.800-204C- draft
从英语翻译成中⽂(简体) - www.onlinedoctranslator.com15
16NIST 特别出版物草案 800-204C
17 基于微服务的应⽤程序的
DevSecOps 实现
服务⽹格18
19
20
21
22
23拉⻢斯⽡⽶·钱德拉穆利
计算机安全部信息技术实
验室
24
25
26
27
28
29
30
31本出版物可从以下⽹址免费获取: https://
doi.org/ 10.6028/ NIST.SP.800-204C- draft
32
33
34 2021 年 9 ⽉
35
36
37
38
39
40
41
42
43
44美国商务部
Gina M. Raimondo, 秘书
美国国家标准与技术研究院
James K. Olthoff, 履⾏商务部副部⻓的⾮专属职能和职责
国家标准与技术研究所所⻓兼标准与技术部主任NIST SP 800-204C (D筏) D电动汽⻋⼩号欧共体○PS为⼀个 ⽶微服务-基于
⼀个应⽤程序 ⼩号服务 ⽶ESH
45 权威
46
47
48
49
50
51
52本出版物由 NIST 根据 2014 年联邦信息安全现代化法案 (FISMA) 44 USC § 3551 规定的法定职责编写
等。 , 公法 (PL) 113-283。 NIST 负责制定信息安全标准和指南, 包括对联邦信息系统的最低要求, 但
未经对此类系统⾏使政策权⼒的适当联邦官员的明确批准, 此类标准和指南不得适⽤于国家安全系
统。 该指南与管理和预算办公室 (OMB) 通告 A-130 的要求⼀致。
53
54
55
56
57
58本出版物中的任何内容均不应被视为与商务部⻓根据法定授权对联邦机构强制执⾏且具有约束⼒的标
准和指南相抵触。 这些指南也不应被解释为改变或取代商务部⻓、 OMB 主任或任何其他联邦官员的现
有权⼒。 本出版物可由⾮政府组织⾃愿使⽤, 在美国不受版权保护。 但是, NIST 会赞赏归因。
59
60
61美国国家标准技术研究院特刊 800-204C
国家⽯油公司。 研究所。 站⽴。 技术。 规格。 出版。 800-204C, 40 ⻚(2021 年 9 ⽉)
编码: NSPUE2
62
63本出版物可从以下⽹站免费获取: https:// doi.org/
10.6028/ NIST.SP.800-204C- draft
64
65
66
67为了充分描述实验程序或概念, 本⽂档中可能会标识某些商业实体、 设备或材料。 此类标识并不意味着 NIST 的
推荐或认可, 也不意味着实体、 材料或设备必须是为此⽬的最好的。
68
69
70
71
72
73本出版物中可能会引⽤ NIST 根据其指定的法定职责⽬前正在开发的其他出版物。 本出版物中的信息, 包括概念
和⽅法, 甚⾄可以在此类配套出版物完成之前被联邦机构使⽤。 因此, 在每份出版物完成之前, 当前的要求、 指
南和程序(如 果存在) 仍然有效。 出于规划和过渡的⽬的, 联邦机构可能希望密切关注 NIST 对这些新出版物的
发展。
74
75
76⿎励组织在公众意⻅征询期内审查所有出版物草稿, 并向 NIST 提供反馈。 所有 NIST 计算机安全部⻔的出版物,
除了上⾯提到的那些, 都可以在 http:// csrc.nist.gov/ publications .
77 公众意⻅征询期: 2021 年 9 ⽉ 29 ⽇ 通过 2021 年 11 ⽉ 1 ⽇
78
79
80
81美国国家标准与技术研究院
收件⼈: 信息技术实验室计算机安全部
100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930
电⼦邮件: sp800-204c- comments@nist.gov
82
83所有评论均须根据信息⾃由法 (FOIA) 发布。NIST SP 800-204C (D筏) D电动汽⻋⼩号欧共体○PS为⼀个 ⽶微服务-基于
⼀个应⽤程序 ⼩号服务 ⽶ESH
84 计算机系统技术报告
85
86
87
88
89
90
91
92美国国家标准与技术研究院 (NIST) 的信息技术实验室 (ITL) 通过为美国的测量和标准基础设施
提供技术领导⼒来促进美国经济和公共福利。 ITL 开发测试、 测试⽅法、 参考数据、 概念验证
实施和技术分析, 以推进信息技术的开发和⽣产性使⽤。 ITL 的职责包括为联邦信息系统中⾮
国家安全相关信息的成本效益安全和隐私制定管理、 ⾏政、 技术和物理标准和指南。
93 抽象的
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115云原⽣应⽤程序已经演变成⼀个标准化架构, 由多个松散耦合的组件组成, 称为微服务(实 现为容
器), 由⽤于提供称为服务⽹格的应⽤程序服务的代码⽀持。 这两个组件都托管在容器编排和资源管
理平台上, 在本⽂档中称为参考平台。 由于安全性、 业务竞争⼒及其固有结构(松 散耦合的应⽤程序
组件), 此类应⽤程序需要不同的应⽤程序开发、 部署和运⾏时范式。 DevSecOps (分 别由
Development、 Security 和 Operations 的三个⾸字⺟缩写词组成) 已被发现是这些应⽤程序的促进
范式, 具有持续集成、 持续交付、 和持续部署 (CI/CD) 管道。 这些管道是⽤于将开发⼈员的源代码通
过各个阶段的⼯作流, 例如由具有反馈机制的⾃动化⼯具⽀持的构建、 测试、 打包、 部署和操作。 除
了应⽤程序代码和应⽤程 序服务代码(服 务⽹格) 之外, 该架构还具有基础设施(计 算、 ⽹络和存储
资源)、 运⾏时策略(⾝ 份验证、 授权等) 和持续监控健康的功能元素应⽤程序(可 观察性), 可以
通过声明性代码进⾏部署。 以及由具有反馈机制的⾃动化⼯具⽀持的操作。 除了应⽤程序代码和应⽤
程 序服务代码(服 务⽹格) 之外, 该架构还具有基础设施(计 算、 ⽹络和存储资源)、 运⾏时策略
(⾝ 份验证、 授权等) 和持续监控健康的功能元素应⽤程序(可 观察性), 可以通过声明性代码进⾏
部署。 以及由具有反馈机制的⾃动化⼯具⽀持的操作。 除了应⽤程序代码和应⽤程 序服务代码(服 务
⽹格) 之外, 该架构还具有基础设施(计 算、 ⽹络和存储资源)、 运⾏时策略(⾝ 份验证、 授权等)
和持续监控健康的功能元素应⽤程序(可 观察性), 可以通过声明性代码进⾏部署。
因此, 可以为所有五种代码类型创建单独的 CI/CD 管道。
本⽂档的⽬的是为托管具有上述功能元素的云原⽣应⽤程序的参考平台提供 DevSecOps
原语的实施指南。 还讨论了这种⽅法对⾼安全性保证和实现持续授权操作 (C-ATO) 的好
处。
116 关键词
117
118
119容器编排和资源管理平台; 开发安全运营; CI/CD 管道; 基础设施即代码; 政策即代码;
作为代码的可观察性; GitOps; ⼯作流模型; 静态 AST; 动态 AST; 交互式 AST; SCA。
120
iiNIST SP 800-204C (D筏) D电动汽⻋⼩号欧共体○PS为⼀个 ⽶微服务-基于
⼀个应⽤程序 ⼩号服务 ⽶ESH
121 致谢
122
123
124
125
126
127
128作者⾸先要感谢 NIST 的 David Ferraiolo 先⽣发起这项⼯作, 为实施 DevSecOps 原语提供
有针对性的指导, 以便在具有服务⽹格基础设施的基于微服务的应⽤程序中开发、 部署和监
控服务. 衷⼼感谢美国空军⾸席战略官 Nicolas Chaillan 先⽣的详细⽽有⻅地的审查和反馈。
还要感谢 Tetrate, Inc. 的 Zack Butcher 为本⽂档的标题提供建议。 作者还对 NIST 的 Isabel
Van Wyk 的详细编辑审查表⽰感谢。
129 要求专利索赔
130
131
132
133
134
135该公开审查包括征集有关基本专利权利要求的信息(要 求使⽤这些权利要求以符合本信息技
术实验室 (ITL) 草案出版物中的指导或要求)。 此类指南和/或要求可在本 ITL 出版物中直接
说明或参考其他出版物。 该呼吁还包括披露存在与本 ITL 草案出版物相关的未决美国或外国
专利申请以及任何相关未到期的美国或外国专利。
136
137ITL 可要求专利持有⼈或授权代表其作出保证的⼀⽅以书⾯或电⼦形式:
138
139a) 以⼀般免责声明的形式保证该⽅不持有并且⽬前不打算持有任何必要的专利权利要
求; 或者
140
141
142b) 保证将向希望使⽤该许可以遵守本 ITL 出版物草案中的指导或要求的申请⼈提供此类
基本专利权利要求的许可:
143
144
145
146⼀世。 在明显不存在任何不公平歧视的合理条款和条件下; 或者
ii. 在没有任何不公平歧视的合理条款和条件下, ⽆需赔偿。
147
148
149
150
151此类保证应表明专利持有⼈(或 被授权代表其做出保证
NIST.SP.800-204C-draft.en.zh-CN
安全标准 >
NIST >
文档预览
中文文档
40 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共40页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-12-05 09:16:20上传分享