目前国内据我所知企业软件安全开发建设大致分为3类,一类走SDL路线,起源于微软,一类走DevSecOps,起源于Gartner 研究公司的分析师 David Cearley,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。第三类无拘无束,走企业自己的路,SDL内容和DevSecOps内容都借鉴也都不走寻常路(基本还是原始管理方式加前两者的改进)。我这里介绍的参考了SDL和DevSevOps内容。
下图是DevSecOps的常见模型,
研究DevSecOps需要先理解DevOps是干啥的,DevOps(Development和Operations的组合词)是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠(引自维基百科)。说人话就是DevOps是让企业开发自己的软件更有产出,