研究

总览工作组研究成果研究专家参与调研

分类筛选

全部研究成果

2025.11.26

本出版物提供了在当今云优先、人工智能驱动环境中识别和缓解风险的最新方法论。在2021年原版的基础上，本版本扩展了关于威胁建模框架的指导。它还引入了人工智能安全原则和现代自动化工具。学习如何将安全设计原则融入您的开发生命周期。本威胁建模指导与NIST安全软件开发框架和欧盟AI法案等框架相符。获取详细示例和可视化工具，包括逐步威胁建模卡和完整的云威胁模型案例研究。学习如何构建持续、自适应的模型，反映实时系统变化，增强韧性，并在复杂分布式环境中实现主动安全决策。无论是从零开始还是优化成熟项目，组织在云架构、人工智能治理和网络韧性不断演变的交叉领域中导航，都将发现这本指南是必不可少的指南。主要要点：现代云威胁建模的实用方法、人工智能风险与自动化在安全设计中的整合、框架比较与选择指导、持续改进的逐步示例和成熟度指标。

查看详细

《DevSecOps的六大支柱：集体责任》

2025.05.27

培养集体安全责任意识不仅是将安全融入 DevOps 环境的重要组成部分，也是最具挑战性的任务之一。这需要培养组织在软件安全方面的思维方式、理念、习俗和行为的转变。

查看详细

《DevSecOps六大支柱：测量、监控、报告和行动》

2025.05.13

云安全联盟的DevSecOps工作组(WG)在“DevSecOps的六个支柱”1中发布了高级别指南，倡导采用新的安全方法。这六个支柱被认为是任何希望实施DevSecOps的组织需要重点关注的领域，其中一个支柱是"支柱6:测量、监测、报告和行动"。支柱6的目标是促进和展示DevSecOps安全状况的确切测量。这将使安全和数字领导者能够确定其安全实践的有效性，以及安全如何融入软件开发生命周期。

查看详细

《2025年SaaS安全现状调查报告》

2025.04.22

随着数字化转型的加速，软件即服务(SaaS)应用已成为现代企业运营的基石。然而，伴随SaaS应用的广泛采用，企业也面临着日益增长的安全挑战，包括可见性差距、影子IT、过度授权访问以及缺乏监控的第三方集成。CSA最新发布的《2025年SaaS安全状况调查报告》深入探讨了这些挑战，揭示了当前SaaS安全态势以及组织应对这些风险的策略。

查看详细

《DevSecOps 的六大支柱：协作与集成》

2025.04.03

DevSecops 是基于 Devops 的安全敏捷化的一场变革，其中 DevOps 名著《加速:企业数字化转型的 24 项核心能力》中第 22个能力要求即是协作能力，协作是支持和促进团队之间的合作，反映了传统上孤立的团队在开发，运营和信息安全方面的互动程度。其中第3个能力要求即是集成能力,集成能力是实现持续交付的第一步。这是一种开发实践。本报告以在 Devops 中引入安全性为起点，由浅入深地介绍基于 Devops 的安全开发生命周期,需要在每个阶段充分地理解软件生命周期各阶段的安全都需要人员、文化、流程和技术的组合推进。安全的本质是一项团队运动，需要各种组织角色之间的全面协作，包括业务领导者、领域专家、安全人员、架构师、软件开发人员、渗透测试人员、SOC 分析师和产品/项目经理。

查看详细

《Kubernetes安全指南》

2025.01.17

《Kubernetes安全指南》参考了Kubernetes官方文档，简要介绍了Kubernetes的主要组件，帮助不熟悉Kubernetes集群的从业人员初步了解其组件及功能。此外，指南基于Kubernetes的技术架构和基本组件，结合ATT&CK模型，深入探讨了Kubernetes平台的攻防技术，并通过攻击矩阵从攻击者的角度列举了Kubernetes可能存在的风险，结合实例使内容更加直观，提供了应对安全挑战的详细分析和防御策略。此指南适合一线安全人员使用。

查看详细