通过DevSecOps能力成熟度评估认证，天翼云核心安全能力全面提升

10月28日，第十九届GOPS全球运维大会在上海召开，中国信息通信研究院云计算与大数据研究所副所长魏凯先生隆重公布，天翼云《研发运营一体化（DevOps）能力成熟度模型第6部分：安全及风险管理》能力成熟度评估结果，天翼云顺利通过1+级能力成熟度评估，成为业内第一家通过本评估的云服务商，第一家通过本评估的运营商，第一家同时通过安全开发、安全运营、安全交付三项评估的企业，标志着天翼云在安全能力建设、研发体系、效能领域达到了业内先进水平。

《研发运营一体化（DevOps）能力成熟度模型》系列标准是由中国信息通信研究院牵头，云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个DevOps系列标准，是最完整、最权威、最具行业指导性的研发运营一体化（DevOps）能力标准之一。DevSecOps是一套基于DevOps体系的安全实践框架，通过一系列的安全控制措施，将安全性集成到软件交付流程的各个阶段，赋能研发团队高效安全交付业务价值。

DevSecOps安全及风险管理能力成熟度评估，包含4个大项、15个子项、90余小项，通过现场访谈、能力演示、专家评审等形式进行评估，最终天翼云顺利通过评估。 天翼云DevSecOps在开发、交付、运营各环节进行全方位的安全能力建设，形成完善的研发运营一体化安全管控体系，主要表现为（1）需求设计阶段：结合行业、公司安全要求和法律法规，制定安全需求，通过威胁建模工具，识别潜在的安全漏洞和安全威胁，从源头上保证产品的合规性；（2）开发测试阶段：集成SAST、SCA等安全扫描工具，对编码规范、开源组件安全性等进行扫描，并设置质量门禁，保障交付阶段产品的安全性；建立专门的测试用例和测试构成，结合DAST动态测试工具，可以多方位验证应用程序的安全性；（3）发布部署阶段：在流程中设置专门的安全审核点，对相关材料进行审核，实现安全管控的闭环管理；（4）运营阶段：建立完善的监控和预警机制，及早发现安全问题并高效处理。

通过此次DevSecOps标准评估，天翼云全面提升了其核心安全能力、安全管理能力与平台基础能力。这是天翼云在DevSecOps实践领域的一个重要里程碑，也表明天翼云安全体系建设获得业界认可。天翼云将推进“安全左移”，全面覆盖安全需求、安全设计、安全开发、安全测试、安全发布等系统开发全生命周期，全方位赋能应用安全开发管理，助力天翼云成为安全可信的云。

未来，天翼云将把DevSecOps作为安全质量的核心理念，将其贯穿于云原生业务的应用安全、网络安全、数据安全、云原生安全四大核心技术领域，覆盖“云网边端”等各类产品，横向赋能客户接入场景，纵深切入场景，为千行百业的客户提供更优质的服务。