美国国防部发布 DevSecOps 持续授权实施指南（下） - IV.评估方法

cATO的评估过程涉及通过审查实践使用证据、与执行实践的人员面谈以确定组织理解和实施的水平以及审查持续监控活动的结果，来了解组织在软件工厂中的风险管理实践。评估团队使用该信息来根据评估团队制定的评估标准来确定组织管理风险的准备情况。这些标准应基于《DevSecOps持续授权操作评估标准》。

这种评估方法是一个根本性的转变，从对组织安全控制合规性的时间点评估转向对组织在整个应用程序生命周期（从开发到持续集成、交付和部署下的运营）中管理风险的持续准备情况的定期评估。

（一）cATO评估方法

确定执行过程评估的团队。评估DevSecOps平台、流程和人员所需的技能会有所不同，而授权官员将批准评估团队及作为授权流程的一部分的其能力。

对团队进行cATO评估流程的教育和培训。制定评估计划并确定关键实践以及评估和权重标准。详细的cATO评估标准可以在《DevSecOps持续授权操作评估标准》中的知识服务（KS）上找到