反思性安全的核心目标是保护自动化过程中内部和外部的安全性。

云安全联盟大中华区发布《DevSecOps-的六大支柱：自动化》，针对DevSecOps提出了六大支柱，分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。

DevSecOps的核心意味着要把安全管理思想全面地覆盖到整个框架中软件开发生命周期中，实现基于安全性的自动化是关键的核心问题。在DevOps名著《持续交付》中就指出应将几乎所有事情自动化^【4】。

《CSA DevSecOps 软件交付流水线》

CSA 软件交付流水线中涉及多个流程，包括软件开发、变更管理、配置管理和服务管理，可能会应用持续集成、持续交付和持续监控的概念。 开发和运维使用的工具包括源代码控制、构建、持续集成、容器化、配置管理、编排和监控。

CSA 软件交付流水线每个阶段都应嵌入适当的自动化安全控制。基于CSA软件交付流水线中建议的阶段，应包括但不限于：

• 安全设计和架构
• 安全编码（开发者 IDE 和代码存储库）
• 持续构建、集成和测试
• 持续交付和部署
• 持续监控和运行时防御

CSA 的自动化支柱可以使用安全的交付流水线并通过在其中应用安全控制来实现业务价值输出。其中应用风险优先的方法进一步允许优化持续交付和处理非自动化安全检查机制，使企业达到世界级的稳定性、可靠性、可用性和安全性。

DevSecOps今天已经成为业界的重要发展趋势，DevSecOps也是CSA高级云安全专家课程(CSA ACSE)的核心内容，是践行共享安全责任的协作表现，DevSecOps意味着从一开始就考虑应用程序和基础设施安全，实现自动化安全质量门禁。只有基于DevOps整合IT的合作文化，才能构建DevSecOps集成安全性、开发和运营实现自动化流水线，帮助企业实现其数字化转型的业务目标。

【1】《Effective DevOps：Building a Culture of Collaboration, Affinity, and Tooling at Scale》-中国电力出版社出版

【2】支柱5:自动化-CSA DevSecOps白皮书

【3】《学会提问》-机械工业出版社出版

【4】《持续交付》-人民邮电出版社出版