带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践（附下载）

DevSecOps的概念在2012年由Gartner首次提出，并逐渐受到国内企业的追捧。随着数字化转型加速和企业上云进程的推进，敏捷开发模式使软件开发生命周期缩短（几天到几周），留给安全的时间越来越短，因此必须在DevOps中有效地融入安全，即DevSecOps。业界已经达成一种共识，即DevSecOps是DevOps发展的必然结果。

1. 概览

1.1. DevSecOps产生背景

• 传统安全模式局限：传统的安全实践往往在软件开发的后期阶段进行，这导致安全问题难以及时发现和修复，增加了安全风险。
• 软件开发周期变短：随着云计算、移动应用、物联网等技术的普及，软件开发变得更加快速和频繁，传统的安全测试方法已无法适应这种快速迭代的节奏。
• 安全要求不断提高：随着数据泄露事件的频繁发生，用户对应用和服务的安全性要求越来越高，企业需要提供更安全、更可靠的产品以满足市场需求。

美国网络安全和基础设施安全局（CISA，CyberSecurity & Infrastructure Security Agency）于2024年5月开始呼吁企业将网络安全融入到技术产品的设计和制造中，通过安全设计（Secure by Design）来构建默认安全的软件，将安全左移到了设计阶段。若想了解更多关于CISA软件安全设计的原则和方法的详细内容，可以参阅： Secure By Design_1025_508c.pdf (共36页，访问密码: 6277)

1.2. DevSecOps定义

DevSecOps 是一种融合了开发（Dev）、安全（Sec）和运维（Ops）的集成方法论，旨在通过将安全实践融入软件开发和部署的整个生命周期，提高软件系统的安全性、可靠性和效率。这种模式强调安全左移（Shift Left）、持续自动化和人人参与安全，以尽早发现并修复安全问题，从而降低成本，并通过CI/CD将安全检测集成到研发流水线中，实现自动反馈和跟踪。

2. DevSecOps发展现状

• 标准化组织的推动：DevSecOps 的实践得到了国际标准化组织（ISO）和全球软件开发社区的广泛认可，ISO 27034 等标准为 DevSecOps 提供了指导框架。
• 工具和平台的丰富：市场上出现了众多支持 DevSecOps 实践的工具和平台，如 Snyk、SonarQube、JFrog、GitLab CI/CD 等，这些工具帮助团队自动化安全检查、代码审查、漏洞管理等流程。

• 企业实践的普及：越来越多的企业开始采用 DevSecOps 方法，将其作为提高软件质量、降低安全风险的关键策略。例如，Google、Microsoft 等大型科技公司已经在内部广泛实践 DevSecOps。根据信通院调查数据显示，实践DevSecOps的企业超过70%。

3. DevSecOps成熟度评估

3.1. 可信研发运营安全能力成熟度模型

信通院牵头联合十余家企业共同制定了《可信研发运营安全能力成熟度模型》，指导企业落地DevSecOps。可信研发运营安全能力成熟度模型强调安全左移，关注需求、设计、研发安全，分为管理制度以及涉及软件应用服务全生命周期的要求、安全需求分析、设计、研发、验证、发布、运营和下线九大部分，每个部分定义了关键安全要素，规范了企业研发运营安全能力的成熟度水平。

TSM可信研发运营安全能力成熟度项目将对标行业标准，围绕标准要求开展安全咨询测评，通过预评估来查漏补缺，对标同业机构，提升企业研发运营全流程安全能力，最终达到可信研发运营安全标准要求，获得第三方资质证书。

3.2. OWASP DevSecOps成熟度模型

OWASP DevSecOps成熟度模型又简称DSOMM，它是一个开源的DevSecOps成熟度评估模型，从5个维度，18个子维度将DevSecOps的成熟度划分为4个等级，用于指导被评估企业如何开展DevSecOps实践。

3.3. BSIMM DevSecOps成熟度模型

BSIMM（Building Security In Maturity Model）可以量化多家不同组织的软件安全活动，揭示其共同点和不同点，从而反映每个组织的独特性。BSIMM评估计分卡可用于评估SSI的当前状态、找出差距、为变更事项分配优先级、并确定如何以及在哪里分配资源，以实现立即改进。

BSIMM 是一种开放式标准，其框架建立在观察到的软件安全实践之上。它整合了来自 100 多家组织中的数百项评估数据，描述了数千名安全专业人员和开发人员的工作。

4. 最佳实践

4.1. 华为

在设计阶段，有威胁建模工具 SecDesign、隐私分析评估与管理平台 SecPCP；在开发阶段，有安全编码检查平台 SecSolar；在测试阶段，有安全测试云 SecGuard；在发布阶段有SignCenter数字签名平台及配套验证工具。在 Ops 阶段，华为也有相应的工具，如安全态势感知和漏洞扫描VSS，具体参见下图。

4.2. 悬镜

悬镜安全基于多年来敏捷安全的落地实践经验，探索出了原创专利级的DevSecOps智适应威胁管理解决方案，赋能DevSecOps全流程的安全风险治理。

4.3. 天翼云

天翼云作为领先的云计算服务提供商，深知强化自身安全能力的重要性。面对日益增长的网络威胁和复杂的安全挑战，天翼云通过自研安全工具与多平台构建的全栈安全体系，为保障产品和服务的安全性提供了创新且高效的解决方案。

• 自研代码安全统一框架：通过天翼云红盾实验室自研代码安全统一框架（融合CTyunSAST、CTyunSCA等工具），支持研发阶段代码安全扫描工作集中开展，加强安全左移能力，提前在研发过程中削减安全风险。
• 自研攻击面管理系统-ASM，深度融合云原生平台：通过天翼云红盾实验室自研的攻击面管理系统-ASM，丰富云原生攻击面自动发现能力。
• 云原生容器风险持续削减：持续迭代云原生容器风险规范及检测能力，解决云原生服务基础安全。
• 多平台构建全栈安全体系：DevOps平台、数据安全管理平台、云原生安全平台、安全运营SOC中心、接口安全管理平台等多平台护航研发、测试、构建、部署、运营等产品全生命周期安全，保障各环节安全能力建设及安全要求达标，同时通过智能化安全态势感知和响应，结合威胁情报、资产纳管、应急响应，实现风险威胁的快速闭环响应。

4.4. 默安科技

默安科技打造了以理论知识为基础、安全检测能力为支撑、安全业务流程为手段的全生命周期DevSecOps解决方案。

默安科技在DevSecOps建设中采用"漏洞反哺安全开发流程"理念，即当发现新的应用漏洞或风险后，企业内部反思各个阶段（哪个阶段出现遗漏？如何避免再次发生？），同时，强化对开发人员的相关培训。

5. 未来趋势

• 自动化和智能化：随着人工智能和机器学习技术的发展，DevSecOps 将更加依赖自动化工具和智能分析，以提高安全检查的效率和准确性。
  持续集成与持续部署（CI/CD）的优化：CI/CD 流程将进一步优化，实现更快、更频繁的软件交付，同时保持安全标准的遵守。
• 跨职能团队的协作：DevSecOps 强调跨职能团队的紧密合作，未来团队成员将更加注重安全意识的培养和技能的提升，形成更加高效、协作的开发环境。
• 合规性和隐私保护：随着全球数据保护法规的加强，如 GDPR、CCPA 等，DevSecOps 将更加注重合规性和隐私保护，确保软件开发和部署符合相关法律法规的要求。

6. 写在最后

综上所述，DevSecOps 通过将安全融入开发、运维的全过程，旨在提高软件系统的安全性、可靠性和效率，其发展背景、现状及未来趋势均显示出其在现代软件开发中的重要性和必要性。相信在最近几年，GPT的快速发展会打通DevSecOps全面落地的最后一公里！

参考文档

• 全球DevSecOps洞察报告.zip (访问密码: 6277)
• 中国DevOps现状调查报告.zip (访问密码: 6277)

---