這幾年，隨著(zhù)云計算和容器的普及，DevOps開(kāi)始從互聯(lián)網(wǎng)向傳統行業(yè)滲透，普及很快，尤其是在金融、科技等IT及業(yè)務(wù)的行業(yè)。隨著(zhù)DevOps的普及，DevSecOps也開(kāi)始被一些企業(yè)關(guān)注。根據GitLab發(fā)布的2021年全球DevSecOps年度調查報告，36% 的受訪(fǎng)者團隊已經(jīng)使用了 DevOps 或者 DevSecOps 開(kāi)發(fā)軟件；而 31.78% 的受訪(fǎng)者團隊在使用 Agile/Scrum。尤其是那些遷往云平臺的新興應用，DevSecOps的應用得到更多普及機會(huì )。而Synopsys發(fā)布的《2020年DevSecOps實(shí)踐和開(kāi)源管理報告》也表明，DevSecOps在全球范圍內迅速增長(cháng)，總計63%的受訪(fǎng)者表示他們正在將一些DevSecOps活動(dòng)融入其軟件開(kāi)發(fā)計劃中。

　　DevSecOps的吸引力很大程度上源于企業(yè)對軟件的安全性、軟件的質(zhì)量和軟件生產(chǎn)的彈性的需求。而在日益激烈的市場(chǎng)競爭壓力之一，企業(yè)的這些需求將更加強烈，因此，DevSecOps未來(lái)發(fā)展前景被普遍看好，特別是在當期DevOps得到越來(lái)越廣泛頻普及的情況下。

　　DevSecOps與DevOps的差別是前者比后者多了“Sec（Security）”上。實(shí)際上，這兩者之間的差別也正是體現在“安全”上。簡(jiǎn)單地說(shuō)，把Security納入到DevOps的體系之中，人人都是安全員，這就是DevSecOps。

　　眾所周知，DevOps顛覆了傳統的瀑布流模式，它打通了開(kāi)發(fā)和運維之間聯(lián)系，讓兩者順利進(jìn)行溝通、協(xié)作與整合，再通過(guò)自動(dòng)化和持續迭代、持續集成的敏捷，實(shí)現了軟件的快速迭代和交付。但這個(gè)流程其實(shí)和安全關(guān)系不大，基本不涉及軟件的安全，或者說(shuō)，軟件的安全性評估還是按照傳統的流程，處于軟件交付的最后階段。這就導致軟件安全檢查和評估要么被忽略（因為交付時(shí)間的壓力），或者軟件被迫延期交付，使得DevOps的效果大打折扣。

　　根據DevSecOps 社區發(fā)布的調研報告，雖然都認為安全很重要，但是連續3年接近一半的開(kāi)發(fā)者承認他們基本沒(méi)有時(shí)間去處理安全問(wèn)題。另一方面，相對運維人員的不足，安全人員在開(kāi)發(fā)團隊中更為稀缺。

　　DevSecOps 的目的就是要設法改變這一現狀。DevSecOps通過(guò)在 DevOps 流程的每個(gè)階段或檢查點(diǎn)嵌入安全性檢查來(lái)消除 DevOps 和安全之間的障礙，從而更快、更安全地生成高質(zhì)量的代碼。DevSecOps是在軟件開(kāi)發(fā)生命周期（SDLC）的早期引入安全性，目標是讓參與SDLC的每個(gè)人負責安全來(lái)開(kāi)發(fā)更安全的應用程序，讓業(yè)務(wù)、技術(shù)和安全協(xié)同工作以開(kāi)發(fā)出更安全的軟件。

　　DevSecOps的好處是在提高軟件安全性的同時(shí)提高開(kāi)發(fā)團隊的開(kāi)發(fā)效率，縮短交付時(shí)間，讓產(chǎn)品盡快上市。比如，由于DevSecOps將安全納入到最初的開(kāi)發(fā)流程中，而不是等到最后到進(jìn)行安全檢查之前，同時(shí)，安全專(zhuān)家不必等待開(kāi)發(fā)周期徹底完成，這兩大因素進(jìn)一步加快了產(chǎn)品交付速度。

　　其次，因為DevSecOps讓人人都是安全員，在軟件開(kāi)發(fā)的早期就把漏洞發(fā)現納入到開(kāi)發(fā)流程中來(lái)，借此降低修復的難度和成本，而且，就從商業(yè)角度來(lái)看，軟件安全性越好對后面的市場(chǎng)營(yíng)銷(xiāo)越有利，從而提升軟件盈利能力。另一方面，DevSecOps由于將開(kāi)發(fā)、運維和安全團隊聚集一起來(lái)處理安全問(wèn)題，培養的這種跨團隊協(xié)作精神非常有助于產(chǎn)生出更快速有效的安全響應策略，有利于構建起更強大的安全設計模式。

　　DevSecOps是在DevOps落地的前提下部署的，它和DevOps一樣非常重視協(xié)作，需要改變人們的關(guān)鍵、調整流程、借力自動(dòng)化工具。其中對企業(yè)轉向DevSecOps最大的阻力還是來(lái)自企業(yè)文化，一般而言，開(kāi)發(fā)團隊不愿意改變自己的開(kāi)發(fā)流程，更愿意繼續沿用傳統的開(kāi)發(fā)方法。另一方面，DevSecOps特別強調將開(kāi)發(fā)人員與安全人員統一起來(lái)，共同建立起協(xié)作環(huán)境。但這兩大團隊間總是存在一定程度的摩擦，甚至認定對方總在跟自己作對，這直接違背了DevSecOps的核心原則。只有改變這種狀況才能讓DevSecOps文化在組織內落地、開(kāi)花結果。

　　很多企業(yè)在引入DevSecOps的另一大常見(jiàn)挑戰在于，常有人認定安全保障會(huì )拖慢軟件開(kāi)發(fā)工作速度、甚至阻礙創(chuàng )新。為了滿(mǎn)足業(yè)務(wù)需求，為了商業(yè)競爭，開(kāi)發(fā)人員希望不斷加快代碼的交付速度。但是，安全團隊的核心重點(diǎn)在于保障代碼安全，而這兩個(gè)截然不同的目標導致團隊之間難以彼此理解、協(xié)同工作。

　　另外，安全人員的不足也可能影響DevSecOps的落地。如前所述，在開(kāi)發(fā)流程中，安全人員原本就是相對缺乏的，而且就整個(gè)行業(yè)而言，相對于嚴峻的安全形勢（不斷爆出的安全漏洞與攻擊事件），安全人員也是不足的。根據Cybersecurity Ventures發(fā)布的報告，2021年全球網(wǎng)絡(luò )安全職位空缺將多達350萬(wàn)個(gè)，因此，安全專(zhuān)家的不足很可能是很多中小型開(kāi)發(fā)團隊面對的一個(gè)難題。

　　DevSecOps落地的另一個(gè)問(wèn)題是自動(dòng)化工具還需要優(yōu)化和豐富。和DevOps一樣，DevSecOps也非常依賴(lài)自動(dòng)化的工具，需要借助工具來(lái)構建腳本、將源代碼進(jìn)行編譯、進(jìn)行軟件漏洞掃描。一個(gè)好用的自動(dòng)化工具不僅要提供多種強大的功能、豐富的插件庫，還具備多種易于上手的用戶(hù)界面，其中一部分甚至能夠自動(dòng)檢測易受攻擊的庫并及時(shí)加以替換。目前，在自動(dòng)化工具方面主要以開(kāi)源為主，這些工具的易用性、安全性還有不小的改進(jìn)空間。

　　不過(guò)，盡管DevSecOps在落地過(guò)程中還存在這樣那樣的障礙，但是在改善軟件質(zhì)量、提高軟件安全性以及縮短交付期等壓力之下，作為應對這些需求最為有效的辦法之一的DevSecOps被認可、被部署應該是眾望所歸。顯然，這種需求越強烈，DevSecOps越是有望迎來(lái)自己的高速發(fā)展時(shí)期，這一時(shí)期相信不會(huì )太遠。