2020 DevSecOps行业洞察报告.pdf

03 北京安普诺信息技术有限公司2020版权所有 2020 行业洞察报告出品方法律声明此报告为悬镜安全与 Freebuf 咨询联合制作，报告中的文字、图片、表格等版权均为悬镜安全与 Freebuf 咨询共同所有。任何组织、个人未经悬镜安全及 Freebuf 咨询授权，不得转载、更改或者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转载或引用本报告内容，不得进行如下活动：不得擅自同意他人转载、引用本报告内容。不得引用本报告进行商业活动或商业炒作。本报告中的信息及观点仅供参考，悬镜安全及 Freebuf 咨询对本报告拥有最终解释权悬镜安全， DevSecOps敏捷安全领导者，由北京大学网络安全技术研究团队 “XMIRROR” 主导创立，专注于以AI人工智能技术为核心的DevSecOps软件供应链持续威胁一体化检测防御。悬镜首创基于AI情景感知的DevSecOps持续威胁管理技术，从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系” 。关于悬镜 FreeBuf .C OM网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是网络安全从业者与爱好者广泛关注的行业社区平台。 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。关于F r eeBuf咨询出品人：子芽、尤文、董毅编辑：李雅、刘一赫、栗子、武文婧设计：王金花、赵青青、王璐参编人员导语 INTRODUCTION 今年的 RSA Conference 于 2 月 24-28 日在美国旧金山如期召开，会议主题为“Human Element”，人为因素被认为是影响未来网络安全发展最深远的主题。会议期间，官方还基于参会人员的关注热度，发布了 2020 年网络安全行业十大趋势，DevSecOps 再次成为大家关注的焦点之一。其中，有着“全球网络安全风向标”之称的 RSA 创新沙盒，进入十强的安全厂商中近半数聚焦在应用安全领域， BluBracket 和 ForAllSecure 等就是今年 DevSecOps 领域的创新厂商代表， Comcast、US DoD 及 NIWC 等机构的 DevSecOps 落地应用也逐渐成为行业实践典范。虽然国内的金融、能源、互联网等产业用户没有像美国一些头部机构那样做 DevSecOps 的深度转型，大部分还是现有的 SDL 体系，但这并不妨碍我们开始积极拥抱 DevSecOps 框架及 CI/CD 黄金管道涉及的敏捷安全活动。正是这些关键活动涉及的新兴技术的逐渐成熟和敏捷安全新理念的普及，推动了国内 DevSecOps 体系的逐渐落地，关键标志之一就是持续专注 DevSecOps 的创新安全厂商开始涌现，我们的通用技术方案开始被越来越多的行业头部用户采纳，并分阶段持续为行业用户建立起逐渐完善的安全开发运营体系。本报告是悬镜安全联合 Freebuf 咨询在国内发布的首个 DevSecOps 行业调查报告，希望从行业用户、厂商力量及安全媒体等综合视角观察并分析 DevSecOps 在国内的发展现状。报告上篇对 DevSecOps 实践情况进行了一定调查，通过问卷调查、资料收集、交流访谈及技术沙龙等形式开展相关调查工作，对千余名不同 IT 背景的专业人员进行了调研，通过他们的声音和真实反馈，表明了 DevSecOps 正逐渐被应用开发团队认可并加速实践，部分领先机构的应用安全工作在软件开发生命周期的早期就已经实现高度自动化。报告下篇描绘了不同行业的 DevSecOps 实践现状，梳理了当前发展热点技术，并对未来发展趋势做了展望。这部分内容主要依赖于同行业专家的沟通与座谈，并融合了我们在行业中观察到的具体现象、发展趋势和应用案例。拥抱变化是敏捷安全建设的基石。我们希望通过本报告的调查及分析，能够推动更多行业用户结合自身业务特点，尝试了解、对比学习甚至着手采纳业内领先的 DevSecOps 敏捷安全体系及落地实践经验，从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。同时，也希望本报告能够鼓励更多不同类型的技术力量与 DevSecOps 行业展开新的对话，并成为建立新的安全基准的参考依据。出品人子芽 2020 年 12 月导语 INTRODUCTION 目录 1. DevSecOps发展现状 34 1. DevSecOps行业调查 02 2. DevSecOps调查后记 31 1.1 DevSecOps现有体系 36 1.2 Dev SecOps安全工具金字塔 40 1.3 不同行业的DevSecOps现状 48 1.4 非安全工具的 DevSecOps融合现状 55 1.1 调研对象及行业领域 03 1.2 DevOps/DevSecOps成熟度 08 1.3 企业软件应用安全现状 15 1.4 研发流程与安全现状 21 1.5 容器、开源组件、云服务 25 1.6 维护软件应用存在的挑战 29 2. DevSecOps年度热点 58 2.1 2 020年度热点技术 2.2 2020 年十大热点新闻事件 61 3. 发展趋势 3.1 2021年DevSecOps实践趋势预测 67 59 66调查篇调查篇通过问卷调查、资料收集、交流访谈等形式开展相关调研工作，共收到 1571 条有效调研数据，旨在了解 DevSecOps 实践者和潜在实践者的想法、做法以及遇到的问题1 DevSecOps行业调查03 1.1 调研对象及行业领域受调者职位：本次调查受调人员共 1571 名，其中占比最大的是开发人员，占总人数的 50%，IT 运维人员占 16%，测试人员占 12%，管理者占 10%，除此之外，其他受调者占比均低于 10%，分别是安全工程师占 7%， UI/UE 占 3%，其他受调者仅占总人数的 2%。DevSecOps 对于开发、测试及运维人员的关系更为密切。您所担任的岗位类型？开发人员 50 16 12 10 7 3 2 IT运维人员测试人员管理者安全工程师其他 UI/UE04 受调者角色：在受调者中普通员工最多占比 82%, 中层管理者占比 14%，而高层管理者占比 3%，自由职业者占比 1%。在实际工作中，普通 IT 员工和中层管理者与 DevSecOps 实践的联系更为紧密。受调者所在组织的开发人员：在所有受调者中，仅有 11% 的受调者所在的组织的开发人员人数大于 1000 名，所在组织开发人员多于 100 名且不超过 1000 名的受调者占比为 15%，所在组织规模开发人员少于 100 名的受调者占 74%，其中组织开发人员规模在 11 到 30 人的受调者最多，占比为 36%。您单位的开发人员数量？ 0 0 10 110 3100 101000 1000以上 10 20 30 40 2 22 36 14 15 11 82% 14% 3% 1% 普通员工中层管理者高层管理者自由职业者您所在单位中的角色是05 受调者所处行业：在所有受调者中，来自互联网 / 软件的受调者占 70%，来自金融行业的受调者占 12%，此两行业受调者总计占比为 82%。在其余 18% 的受调者中，教育行业和通信行业各占 5%。您单位所处的行业是？ 12% 互联网/软件 70% 金融服务能源 1% 媒体 1% 零售 1% 政府和事业单位 1% 教育 5% 通信 5% 军工 1% 其他 4% 工业 2组织对于安全工作的重视程度因行业而异，尤其是互联网与金融行业重视用户体验与网络、数据安全，整体IT建设的标准较高，因此本次调查问卷触达的相关行业人员数量最多。作为DevSecOps安全保障工作的实际执行者，开发、运维及测试人员对项目开发中的安全痛点和需求的认识更为深刻，本次调查也更多地触达了以上人群。小结贴合实际，全流程多维度安全检查介入，避免后期安全问题积累，提前获取已知问题得到最佳修复时间。大家说： GuoZhiPing 软件/互联网上海市浦东新区08 1.2 DevOps/DevSecOps 成熟度受调者对 DevOps 的熟悉程度：在所有受调者中，对于 DevOps 非常了解且有亲身实践的人数仅占 19%，有一些了解但没有实践的受调者人数最多占比为 32%，听过但并不了解的受调者占 23%，完全没听过的受调者占比为 26%。由此可见，虽然有 74% 的人听过 DevOps，但有亲身实践的人少之又少，说明目前实践 DevOps 模式的组织相对较少，尚有较大增长空间。您对 DevOps 的了解程度如何 ? DevOps（研发运营一体化）：是 Development 和 Operations 的组合词，它是一组过程、方法与系统的统称。研发运营一体化是指在 IT 软件及相关服务的研发及交付过程中，将应用的需求、开发、测试、部署和运营统一起来，基于整个组织的协作和应用架构的优化，实现敏捷开发、持续交付和应用运营的无缝集成。帮助组织提升 IT 效能，在保证稳定的同时，快速交付高质量的软件及服务，灵活应对快速变化的业务需求和市场环境。 DevSecOps（研发安全运营一体化）: 是 Development 、 Security 和 Operations 的组合词，DevSecOps 主要是针对以 B/S 架构为主的软件应用系统，其核心思想是凭借静态应用安全测试（SAST）、动态应用安全测试（DAST）、交互式应用安全测试（IAST）等多种形式的检测手段，在软件开发周期内编码、集成、测试等任一阶段，对软件进行代码层面和应用层面的安全性检测，从而在发布软件前尽可能找到更多的 Bug 或漏洞，降低软件上线后修复 Bug 或漏洞的成本和风险。报告术语界定没听过听过不了解有一些了解但没有实践非常了解且亲身实践 26 23 32 1909 受调者对 DevSecOps 的熟悉程度：在所有受调者中，对 DevSecOps 完全没听过的比重最多为 41%，听过但并不了解的受调者占 28%，有一些了解但没有相关实践经验的受调者为 21%，对于 DevSecOps 非常了解且有一定亲身实践的受调者占 10%。通过这部分的数据，可以反映出 DevSecOps 的推广及普及尚处于起步阶段。您对 DevSecOps 的了解程度如何 ? 没听过听过不了解有一些了解但没有实践非常了解且亲身实践 41% 28% 21% 10% 您单位开发的应用类型是？ Web网站物联网桌面应用不开发应用移动App 小程序微服务其他不清楚 0 100 18 33 36 57 72 17 3 3 1 受调者所在组织开发的应用类型：受调者所在的单位中，开发 Web 网站的组织占比最高为 72%，其次是移动 App 占比为 57%，除此之外组织开发类型较多的为小程序占比是 36%、微服务占比是 33%、物联网占比为 18%、桌面应用占比为 17%。通过分析这些数据，可以得出 Web 网站和移动 App 仍是目前组织开发的主流应用类型，小程序和微服务也占有一定份额的比重10 受调者所在组织的软件研发流程模式：在所有受调者中，43% 受调者所在组织在软件开发时会使用 Agile 敏捷模式，其次是使用 DevOps 和瀑布模式的单位，均占比 12%，而使用 DevSecOps 的单位仅有 6%。透过数据可以发现，敏捷模式仍是目前市场上组织进行软件研发的主流选择，而选择使用 DevOps 或 DevSecOps 的组织未超过两成。受调者所在组织的 DevSecOps 成熟度：在所有受调者所在的组织中，没应用过 DevSecOps 的占 82%，虽应用过 DevSecOps 但并不成熟的组织占 10%，认为自身有一定成熟度但仍在持续改进中的组织占 6%，认为自身 DevSecOps 实践已非常成熟的组织仅占 2%。可以看出， DevSecOps 对大多数组织来说，还属于新生事物。您单位软件产品研发所使用的流程模式是？您单位的 DevSecOps 成熟度如何？ 0 De vOps De vSecOps 瀑布模式敏捷模式大规模敏捷模式（ SAFE 、 D AD 、 L ess等）不清楚 10 20 30 40 50 12 6 12 43 3 22 其他 2 没应用 DevSecOps 应用了 DevSecOps 但不成熟有一定成熟度，持续改进中非常成熟 82% 10% 6% 211 受调者所在组织没有应用 DevOps 的原因：数据显示，组织是因为不了解 DevOps 才没有采用的占 45%，其次是组织领导层对 DevOps 关注不够占 28%，17% 的组织是因为觉得不易实践或难以推动，仅有 10% 的组织没有采用的原因是因为项目规模或业务不适用。由此可见，组织不采用的主要原因还是对 DevOps 的了解度不够。您单位没有应用 DevOps 的原因是？受调者所在组织使用的 DevOps 平台来源：数据显示，46% 的组织更倾向于使用开源平台，其次是选择使用自研平台的组织占 19%，而选择收费产品的组织只占 8%，而会选择闭源免费平台的组织仅占 2%。近一半的受调者确定所在组织并未在 DevOps 平台上进行资金投入。您单位使用的 DevOps 平台的来源是？自研平台不清楚开源平台 19% 收费产品 8% 闭源免费平台 2% 25% 46% 45% 10% 17% 28% 不了解De vOps 项目规模或业务不适用不易实践/难以推动领导层不关注12 受调者所在组织使用的 DevOps 平台：在受调者所在组织中，45% 的组织从未使用过 DevOps 平台，在使用 DevOps 平台的组织中，阿里云、腾讯云、华为云自身 DevOps 产品的使用者较多。腾讯系的蓝鲸也有相当数量的使用量。可以看到，组织在选择使用 DevOps 平台时，会优先选择互联网头部厂商的平台。您单位使用的 DevOps 平台是 ? 没使用嘉为蓝鲸平安神兵开源和免费工具阿里云效腾讯云Coding 华为云D e vCloud 博云其他 0 100 5 7 12 13 45 11 5 1 1安全是一个老生常谈的话题，但目前大多数组织只是停留在口头层面的重视，而非积极主动方式的应对。在传统开发项目中，开发组织通常更多地关注核心功能，在安全性方面往往缺乏经验与耐心，只会满足要求的最小集，安全问题暂时推延，导致运维与安全人员不得不扮演 “救火队员” 的角色。所以， DevOps实践需要在全流程上引入安全要素。如果忽视安全的重要性，将会对DevOps的实践结果产生负面的影响，若速度不是建立在安全性和可用性的基础之上的话，项目失败将不可避免。组织中DevSecOps的应用普及关键在于自上而下对于安全的关注度，辅之以长期实践与持续改进的执行力，不能指望短期内就能实现从无到有，做到完美。只有全员安全意识提升，配备完善的工具与流程，开展安全相关的培训，加强整个团队的DevSecOps成熟度，才能从根本上降低生产风险。小结14 DevSecOps敏捷安全领导者 01 大家说：嘉金融服务行业 DevSecOps可以使安全防护左移，在落地的过程中安全部门要更注重与开发、运维之间的精诚合作，做到真正的助力业务，守护业务15 1.3 企业软件应用安全现状应用安全的重要性：调查数据显示，96% 的受调者已经认识到安全在软件应用中的重要性，但仍有 4% 的受调者缺乏相关意识。受调者处理软件应用中安全问题的时间：数据显示，84% 的受调者认为用于处理软件应用中安全问题的时间不足，只有 16% 的受调者认为有充足的时间来处理软件应用中的安全问题。您觉得在软件应用中，安全的重要性是？您是否有足够的时间处理软件应用中的安全性问题？ 61 35 4 不重要比较重要非常重要 100 时间非常充足有一定的时间处理但不充足时间非常不足 16 63 2116 受调者所在组织软件应用发布上线频率：62% 的组织每周都会进行软件应用发布，其中每周一次的组织占 28%，每周多次的组织占 24%，而每天多次上线新版本的组织占 10%。除此之外，迭代周期为数月的组织占 9%，低于每年一次上线软件版本的组织仅占 3%。自动化安全测试工具应用：调查数据显示，已使用黑盒测试工具 DAST 的组织占 49%，使用白盒测试工具 SAST 的组织占 42%，采用软件成分分析工具 SCA 的组织占 15%，采用灰盒安全测试工具 IAST 的组织占 5%。除此之外，24% 的组织没有用任何工具，其他受调者表示不清楚组织是否有采用安全测试工具的具体情况。您单位软件应用发布上线的频率是？您单位软件应用生产过程中，所使用的应用安全检测工具有？ 0 每天多次每周多次每周一次数周一次数月一次低于每年一次 10 20 30 40 10 24 28 26 9 3 黑盒测试工具（ D AS T ）软件成分分析工具（ SCA ）灰盒测试工具（ IAS T ）白盒测试工具(SAS T) 没用任何工具不清楚 0 100 17 24 42 49 15 517 受调者获知应用安全问题的渠道：大部分受调者通过他人的反馈来获知软件应用的安全问题，其中包括通过安全管理人员了解软件应用安全问题的受调者占 45%，通过客户或用户反馈占 28%，通过政府监管部门通知占 13%。而通过安全工具了解软件应用安全问题的占比为 29%，没了解过安全问题和没发生过安全问题的受调者共占 28%。您是通过哪些渠道获知软件应用的安全问题的？通过安全管理人员从未发生过安全问题其他通过安全工具客户或用户反馈我没了解过安全问题政府监管部门通知 0 100 13 16 28 29 45 12 6 受调者接受应用安全培训：81% 的受调者表示从未接受过任何安全培训，仅有 19% 的受调者接受过应用安全培训，其中 10% 的受调者接受过组织内训，5% 的受调者通过自学网课的方式进行安全培训，而仅有 3% 的人是通过专业的课程完成培训。通过数据分析，大部分的组织进行安全培训的力度有待加强。您接受过何种应用安全培训？自学网课企业内训从未接受过任何安全培训 5 专业课程（等保人员培训、 CISP培训等） 3 第三方培训 1 10 8118 受调者所在组织过去一年发生的信息安全事件：仅有 30% 的受调者确认组织在过去一年发生过信息安全事件， 48% 的受调者表示所在组织去年一年未发生任何信息安全事件，22% 的受调者表示并不清楚是否发生过信息安全事件。过去一年，您单位所开发的软件应用中是否发生过信息安全事件？ 30 48 22 发生过未发生不清楚现如今，有越来越多的企业组织在软件开发过程中应用敏捷开发或 DevOps等模式，随着应用发布频率的加快，安全问题也越来越凸显出来。对于企业组织来说，需要加强对开发和测试等人员的安全培训工作，让安全成为团队中每一个人的责任。小结DevSecOps敏捷安全领导者 01 大家说：宇寰软件/互联网关键还是自上而下的执行力，而后就是长期实践和持续改进，不能指望几个月就能从无到有，做到完美。再者就是全员安全意识提升，配合相应奖惩制度，逐步转变观念21 受调者所在组织安全工作对软件应用生产效率的影响：81% 的受调者表示安全工作会影响软件应用生产的效率，其中 55% 的受调者表示会降低些许效率，26% 的受调者表示对效率的影响巨大，除此之外 9% 的受调者表示组织的安全工作对软件应用生产效率几乎没有影响，10% 的受调者表示并不清楚是否存在影响。您认为安全工作对软件应用生产效率的影响是？ 1.4 研发流程与安全现状几乎没影响会降低些许效率对效率影响巨大不清楚 9% 55% 26% 1022 受调者所在组织进行应用安全检测的阶段：数据显示，在测试阶段进行应用安全检测的占比最多，为 46%，其次是发布阶段，编码阶段再次之。受调者所在组织软件流程与安全测试工作的结合程度：34% 的受调者表示组织的安全测试是需要独立执行的工作，31% 的受调者表示虽然已经集成，但包含一定程度的人工实施，5% 的受调者表示软件流程与安全测试工作已完全实现集成且完全自动化。您单位在什么阶段进行应用安全检测？您单位软件研发流程与安全测试工作的结合程度是？ 0 编码编码构建集成测试发布运营 10 20 30 40 50 27 24 23 46 31 20 贯穿全流程 19 不清楚 24 没结合，安全是独立执行的工作已集成，但包含一定程度的人工实施已集成且完全自动化不清楚 34 31 5 30当前，安全工作与开发流程的结合是趋势，但尚未成熟。更多的安全工作还是以相对独立的形态完成，并会对应用开发效率产生明显的影响。值得欣慰的是，组织已更多地选择将安全工作放到上线之前完成，以实现 “安全左移” 。这使得应用漏洞可以在上线前便被修复，减少上线后发生安全事件的概率。小结DevSecOps敏捷安全领导者 01 大家说：无风格软件/互联网河北承德确定目标，选好姿势，梳理全流程，制定规范，最后分布实施25 1.5 容器、开源组件、云服务受调者所在组织对容器安全方案的使用：38% 的受调者表示所在组织已应用了容器安全解决方案，有 28% 的受调者表示所在组织并没有应用容器安全解决方案，同时 34% 的受调者表示并不清楚组织是否应用容器安全解决方案。受调者所在组织使用的云安全产品供应商：39% 的受调者表示所在组织选择了云服务商所提供的云安全产品， 16% 的受调者表示所在组织使用了云服务但并没有使用安全产品，没有使用云服务的组织占 12%，10% 的组织会选择第三方安全厂商的云安全产品。您单位是否应用了针对容器的安全解决方案？您单位使用的云安全产品供应商是？ 38 28 34 已应用未应用不清楚云服务商不清楚使用云服务但没使用安全产品没使用云服务第三方安全厂商 0 100 10 12 16 23 3926 受调者对软件应用中使用的开源组件的了解程度：69% 的受调者表示对所生产的软件应用中使用的开源组件有一定的了解，其中 57% 的受调者表示仅是部分了解，完全了解的受调者占 12%，同时，还有 31% 的受调者表示对所生产的软件应用中使用的开源组件并不了解。由此可见，虽然大部分人对所使用的的组件有相关了解，但了解程度有待提高。受调者组织对软件应用中所使用开源组件的管理情况：75% 的受调者表示所在组织对开发的软件应用中使用开源组件有相关的管理，其中 58% 的组织只是有一些管理措施，仅有 17% 的组织对使用开源组件的管理措施很严谨；同时还有 25% 受调者的组织对使用开源组件完全没有管理。由此可见，组织对于开发软件应用中使用开源组件管理的重视程度相差很大，使用开源组件可以提升一定的效率，但同时也会存在许多风险，这时就需要组织提升自身对于开源组件安全的重视。您是否了解所生产的软件应用中使用了哪些开源组件？您单位对开发的软件应用中使用开源组件的管理情况是？完全了解部分了解不了解 12 57 31 完全没有管理有一些管理措施管理措施很严谨 25 58 17容器、云、和开源管理，是现代软件开发和运行的重要基础设施。基础设施是应用软件的根基，只关注自开发代码的安全性是不够的，软件基础设施的安全同样是保障应用安全必不可少的一环。小结DevSecOps敏捷安全领导者 01 大家说： WH 金融服务行业北京西城区自动化测试和手工测试都有存在的应用场景，一步跨越到完全自动化测试也是不现实的29 1.6 维护软件应用存在的挑战受调者在维护软件应用安全性上遇到的最大挑战：36% 的受调者表示最大的挑战是“不清楚应用安全的具体要求”，29% 的受调者表示是“不清楚如何保障应用安全”，28% 的受调者选择了“发现应用安全问题不全面”。可以看到，安全上面临的挑战比较多样，但不清楚要求和方法的占比最高，这再一次说明了安全培训的重要性。您认为，在维护软件应用安全性上遇到的最大挑战是？不清楚应用安全的具体要求迭代速度优先于安全要求应用安全要求执行不到位已知安全问题但不会修复其他不清楚如何保障应用安全发现应用安全问题不全面在安全投入的资源不足发现应用安全问题太晚 0 100 16 18 28 29 36 14 12 9 5安全永远在路上，安全研发体系建设的探索与实践是一个不断打磨和演进的过程，其中的问题很多，包含了技术工具融合、方法论运用、人才培养、跨团队协作等众多挑战。安全培训的加强以及安全工具的使用，能在很大程度上缓解安全问题带给我们的困难。小结2 调查后记32 本次调查的目的是从 DevSecOps 实践者及潜在实践者的角度，了解 DevOps 及 DevSecOps 在组织中的实践现状。本次调查结果在一定程度上展示了受调者在 DevSecOps 实践上的所想、所做和挑战。本次调查中 82% 的受调研对象来自于金融服务和互联网 / 软件行业，样本行业的集中度较高。从调查结果中我们看到，更快、更安全的软件应用是许多组织所追求的，但仍有近七成的受调对象完全不了解 DevSecOps，实践者仅有一成。在保障安全的方式上，有 73% 的技术人员的安全问题获悉渠道是来源于安全管理人员或者黑客攻击纰漏问题及用户反馈，这使得企业的风险发现及问题处置工作变得非常被动。这是本报告的联合编制组完成的首次 DevSecOps 调查，在样本分布控制和问卷设置方面，难免出现不成熟之处，望读者谅解并指教。希望在 2021 年的调查中，我们能看到 DevSecOps 实践的成熟和进步。有更多的实践者，通过 DevSecOps 帮助他们实现敏捷安全的目标1 DevSecOps发展现状洞见篇融合了行业安全专家及咨询师的思考和判断，旨在阐述De v S ecOps在当下的发展态势，以及预测未来的发展趋势，帮助De vSecOps实践者梳理出前瞻性的实践思路1 DevSecOps发展现状35 随着当下技术的不断发展，软件开发模式也在不断发生变化，从传统的瀑布模式到敏捷开发、再到 DevOps。 DevOps 主张在软件开发生命周期的所有步骤实现自动化和监控，缩短开发周期，增加部署频率。进入互联网时代之后，企业向 DevOps 快速转型，产品交付质量和速度都在快速提升，而安全资源的缺乏以及传统安全运营模式，却阻碍了 DevOps 的发展。 Gartner 在 2015 年数据中心和信息安全峰会的调研报告显示，安全已经成为 IT DevOps 发展的阻碍。安全，作为业务合规避险的基石，必须要积极转型，适应 DevOps 全新的开发过程。在此趋势下， DevSecOps 应运而生，它是 DevOps 的衍生概念，即将安全嵌入到 DevOps 的流程中，强调安全需要贯穿从开发到运营整个软件生命周期的每个环节。其核心是在不牺牲安全性的前提下，快速和规模地交付软件产品。对于大部分开发团队而言，安全是比较孤立的，大部分开发和运维人员没有接受过安全编码和安全事件的培训，使得安全与开发的过程是分割开的。DevOps 所涵盖的角色包括开发人员和运维人员，并不包括安全人员。安全作为软件开发的保障性因素，却被排除在外。而 DevSecOps 的出现可以通过固化流程、加强不同人员协作，通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内，让安全及合规作为属性嵌入到 DevOps 开发运营一体化中，在保证业务快速交付价值的同时实现安全内建，降低 IT 安全风险。在 DevSecOps 的理念下，企业的整个 IT 团队目标统一，即在保障敏捷开发的基础上，共同背负起安全的责任。虽然国内的 DevSecOps 落地仍处于发展阶段，但很多国内企业已经意识到开发安全的重要性。随着 DevOps 的深度实践，工作流程越来越规范、工具和应用场景也越来越丰富。在此趋势下，国内陆续涌现出一批专注 DevSecOps 的创新安全厂商，新一代的技术方案被越来越多的行业头部用户所采纳。 1 DevSecOps发展现状