NIST.SP.800-204C-draft.en.zh-CN

1 2NIST 特别出版物草案 800-204C 3 基于微服务的应⽤程序的 DevSecOps 实现服务⽹格4 5 6 7 8 9 10 11 12 13 14拉⻢斯⽡⽶·钱德拉穆利本出版物可从以下⽹址免费获取： https:// doi.org/ 10.6028/ NIST.SP.800-204C- draft 从英语翻译成中⽂(简体) - www.onlinedoctranslator.com15 16NIST 特别出版物草案 800-204C 17 基于微服务的应⽤程序的 DevSecOps 实现服务⽹格18 19 20 21 22 23拉⻢斯⽡⽶·钱德拉穆利计算机安全部信息技术实验室 24 25 26 27 28 29 30 31本出版物可从以下⽹址免费获取： https:// doi.org/ 10.6028/ NIST.SP.800-204C- draft 32 33 34 2021 年 9 ⽉ 35 36 37 38 39 40 41 42 43 44美国商务部 Gina M. Raimondo，秘书美国国家标准与技术研究院 James K. Olthoff，履⾏商务部副部⻓的⾮专属职能和职责国家标准与技术研究所所⻓兼标准与技术部主任NIST SP 800-204C (D筏) D电动汽⻋⼩号欧共体○PS为⼀个⽶微服务-基于⼀个应⽤程序⼩号服务⽶ESH 45 权威 46 47 48 49 50 51 52本出版物由 NIST 根据 2014 年联邦信息安全现代化法案 (FISMA) 44 USC § 3551 规定的法定职责编写等。 , 公法 (PL) 113-283。 NIST 负责制定信息安全标准和指南，包括对联邦信息系统的最低要求，但未经对此类系统⾏使政策权⼒的适当联邦官员的明确批准，此类标准和指南不得适⽤于国家安全系统。该指南与管理和预算办公室 (OMB) 通告 A-130 的要求⼀致。 53 54 55 56 57 58本出版物中的任何内容均不应被视为与商务部⻓根据法定授权对联邦机构强制执⾏且具有约束⼒的标准和指南相抵触。这些指南也不应被解释为改变或取代商务部⻓、 OMB 主任或任何其他联邦官员的现有权⼒。本出版物可由⾮政府组织⾃愿使⽤，在美国不受版权保护。但是， NIST 会赞赏归因。 59 60 61美国国家标准技术研究院特刊 800-204C 国家⽯油公司。研究所。站⽴。技术。规格。出版。 800-204C， 40 ⻚（2021 年 9 ⽉）编码： NSPUE2 62 63本出版物可从以下⽹站免费获取： https:// doi.org/ 10.6028/ NIST.SP.800-204C- draft 64 65 66 67为了充分描述实验程序或概念，本⽂档中可能会标识某些商业实体、设备或材料。此类标识并不意味着 NIST 的推荐或认可，也不意味着实体、材料或设备必须是为此⽬的最好的。 68 69 70 71 72 73本出版物中可能会引⽤ NIST 根据其指定的法定职责⽬前正在开发的其他出版物。本出版物中的信息，包括概念和⽅法，甚⾄可以在此类配套出版物完成之前被联邦机构使⽤。因此，在每份出版物完成之前，当前的要求、指南和程序（如果存在）仍然有效。出于规划和过渡的⽬的，联邦机构可能希望密切关注 NIST 对这些新出版物的发展。 74 75 76⿎励组织在公众意⻅征询期内审查所有出版物草稿，并向 NIST 提供反馈。所有 NIST 计算机安全部⻔的出版物，除了上⾯提到的那些，都可以在 http:// csrc.nist.gov/ publications . 77 公众意⻅征询期： 2021 年 9 ⽉ 29 ⽇通过 2021 年 11 ⽉ 1 ⽇ 78 79 80 81美国国家标准与技术研究院收件⼈：信息技术实验室计算机安全部 100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930 电⼦邮件： sp800-204c- comments@nist.gov 82 83所有评论均须根据信息⾃由法 (FOIA) 发布。NIST SP 800-204C (D筏) D电动汽⻋⼩号欧共体○PS为⼀个⽶微服务-基于⼀个应⽤程序⼩号服务⽶ESH 84 计算机系统技术报告 85 86 87 88 89 90 91 92美国国家标准与技术研究院 (NIST) 的信息技术实验室 (ITL) 通过为美国的测量和标准基础设施提供技术领导⼒来促进美国经济和公共福利。 ITL 开发测试、测试⽅法、参考数据、概念验证实施和技术分析，以推进信息技术的开发和⽣产性使⽤。 ITL 的职责包括为联邦信息系统中⾮国家安全相关信息的成本效益安全和隐私制定管理、⾏政、技术和物理标准和指南。 93 抽象的 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115云原⽣应⽤程序已经演变成⼀个标准化架构，由多个松散耦合的组件组成，称为微服务（实现为容器），由⽤于提供称为服务⽹格的应⽤程序服务的代码⽀持。这两个组件都托管在容器编排和资源管理平台上，在本⽂档中称为参考平台。由于安全性、业务竞争⼒及其固有结构（松散耦合的应⽤程序组件），此类应⽤程序需要不同的应⽤程序开发、部署和运⾏时范式。 DevSecOps （分别由 Development、 Security 和 Operations 的三个⾸字⺟缩写词组成）已被发现是这些应⽤程序的促进范式，具有持续集成、持续交付、和持续部署 (CI/CD) 管道。这些管道是⽤于将开发⼈员的源代码通过各个阶段的⼯作流，例如由具有反馈机制的⾃动化⼯具⽀持的构建、测试、打包、部署和操作。除了应⽤程序代码和应⽤程序服务代码（服务⽹格）之外，该架构还具有基础设施（计算、⽹络和存储资源）、运⾏时策略（⾝份验证、授权等）和持续监控健康的功能元素应⽤程序（可观察性），可以通过声明性代码进⾏部署。以及由具有反馈机制的⾃动化⼯具⽀持的操作。除了应⽤程序代码和应⽤程序服务代码（服务⽹格）之外，该架构还具有基础设施（计算、⽹络和存储资源）、运⾏时策略（⾝份验证、授权等）和持续监控健康的功能元素应⽤程序（可观察性），可以通过声明性代码进⾏部署。以及由具有反馈机制的⾃动化⼯具⽀持的操作。除了应⽤程序代码和应⽤程序服务代码（服务⽹格）之外，该架构还具有基础设施（计算、⽹络和存储资源）、运⾏时策略（⾝份验证、授权等）和持续监控健康的功能元素应⽤程序（可观察性），可以通过声明性代码进⾏部署。因此，可以为所有五种代码类型创建单独的 CI/CD 管道。本⽂档的⽬的是为托管具有上述功能元素的云原⽣应⽤程序的参考平台提供 DevSecOps 原语的实施指南。还讨论了这种⽅法对⾼安全性保证和实现持续授权操作 (C-ATO) 的好处。 116 关键词 117 118 119容器编排和资源管理平台；开发安全运营； CI/CD 管道；基础设施即代码；政策即代码；作为代码的可观察性； GitOps；⼯作流模型；静态 AST；动态 AST；交互式 AST； SCA。 120 iiNIST SP 800-204C (D筏) D电动汽⻋⼩号欧共体○PS为⼀个⽶微服务-基于⼀个应⽤程序⼩号服务⽶ESH 121 致谢 122 123 124 125 126 127 128作者⾸先要感谢 NIST 的 David Ferraiolo 先⽣发起这项⼯作，为实施 DevSecOps 原语提供有针对性的指导，以便在具有服务⽹格基础设施的基于微服务的应⽤程序中开发、部署和监控服务. 衷⼼感谢美国空军⾸席战略官 Nicolas Chaillan 先⽣的详细⽽有⻅地的审查和反馈。还要感谢 Tetrate, Inc. 的 Zack Butcher 为本⽂档的标题提供建议。作者还对 NIST 的 Isabel Van Wyk 的详细编辑审查表⽰感谢。 129 要求专利索赔 130 131 132 133 134 135该公开审查包括征集有关基本专利权利要求的信息（要求使⽤这些权利要求以符合本信息技术实验室 (ITL) 草案出版物中的指导或要求）。此类指南和/或要求可在本 ITL 出版物中直接说明或参考其他出版物。该呼吁还包括披露存在与本 ITL 草案出版物相关的未决美国或外国专利申请以及任何相关未到期的美国或外国专利。 136 137ITL 可要求专利持有⼈或授权代表其作出保证的⼀⽅以书⾯或电⼦形式： 138 139a) 以⼀般免责声明的形式保证该⽅不持有并且⽬前不打算持有任何必要的专利权利要求；或者 140 141 142b) 保证将向希望使⽤该许可以遵守本 ITL 出版物草案中的指导或要求的申请⼈提供此类基本专利权利要求的许可： 143 144 145 146⼀世。在明显不存在任何不公平歧视的合理条款和条件下；或者 ii. 在没有任何不公平歧视的合理条款和条件下，⽆需赔偿。 147 148 149 150 151此类保证应表明专利持有⼈（或被授权代表其做出保证