DevSecOps破局,縱深一體化安全研運讓價值高效流動

【前言】

繼IT組織紛紛轉向敏捷研發與DevOps模式，如何在快速交付的同時，保障安全交付成為業內廣泛關注的焦點。DevSecOps應運而生。

那么，傳統敏捷研發模式究竟存在什么弊端？DevOps遺留了哪些問題？DevSecOps有何特點？行業的實踐情況如何？IT團隊選型時應該如何考慮？

本文將對以上問題進行解析，并以部分實例加以說明。

一、傳統敏捷研發的弊端

隨著云計算、微服務和容器技術的快速普及，許多企業及IT團隊的交付模式迎來了巨大的變遷，由傳統的瀑布式開發和一次性全量交付逐漸過渡為敏捷研發，來跟上業務及商業化需求。

然而，傳統的敏捷研發模式存在諸多問題：安全責任過度依賴于有限的安全資源、安全團隊在上線前介入、安全活動與研運流程嚴重割裂、系統安全問題暴露滯后等，非但不能有效地進行安全防護，還會影響交付速度。如何在更短的研發周期內，快速實現業務價值，同時保障質量、安全、交付速度的平衡，是傳統敏捷研發模式面臨的重要挑戰。

此外，傳統的敏捷研發模式中，需求、設計、研發、測試、運維等角色，工作流程彼此隔離，存在數據與信息孤島，研運全場景數據收集困難，管理角色無法通過度量分析及時發現進度與質量的風險，更難以追蹤溯源進而驅動產研持續改進。

二、DevOps的實踐情況

研發與運營逐步走向一體化的大環境下，設計與執行仍基于敏捷研發框架之下的DevOps，以其一定程度上加速了軟件部署與迭代效率的優勢，獲得不少企業的認可與關注。

在DevOps流程中，研發人員往往通過應用和編排開源工具，以加速開發與部署節奏。但該模式依賴于過多的腳本維護與人工跟進，可擴展性差，自由編排能力弱，軟件供應鏈安全風險極高。

因此，如何保障業務及系統安全、如何提高流水線的執行效率成為DevOps面臨的最大瓶頸。

三、DevSecOps的演進與行業痛點

1.DevSecOps的誕生與發展

針對以上困境，2012年由Gartnert提出的DevSecOps概念，強調安全左移，讓安全貫穿于業務生命周期的每個環節，并成為IT組織架構內所有成員的責任。發展至今，業界關于DevSecOps的呼聲日益高漲，它是對自動化能力不足、充滿安全瓶頸的敏捷開發模式的關鍵響應，從源頭上補齊了DevOps體系缺失的安全能力。

因此，近年來，越來越多的政企紛紛加入到實踐行列。顯然，DevSecOps的起源、演進發展及廣泛使用，足以見得市場已對安全研運提出更高標準。

那么，DevSecOps業內，已落地的前沿創新及解決方案，是否能夠應對云原生、微服務、容器等新興技術帶來的開源漏洞？安全檢測工具是否準確、易用、高效？是否打破數據孤島，是否實現真正的項目或團隊協同？度量分析是否提供智能決策，是否真正驅動產研保質增效？

2.DevSecOps實踐痛點：工具單一、能力不足、體系缺失

我們帶著以上疑問，對DevSecOps業內已落地的實踐進行了系統性分析。

誠然，DevSecOps的出現與實踐，正在幫助我們找尋速度與安全的平衡點，它的體系已日趨成熟，方法論、技術與實踐經驗均有明顯提升。

但目前的DevSecOps實踐，普遍過多地關注在CI/CD流水線相關的安全工具集成與應用上，且大多只集成了SAST工具，做單一源代碼檢測，這種情況下不但工具與流程是不易集中管理與調整，安全測試無法緊跟快速迭代的步伐，嚴重拖垮交付節奏，而且缺乏SCA、IAST及模糊測試等能力，來為流程中其他階段進行更多維度的安全檢測。

于此同時，我們忽視了一個重要信息，該種單點防御的方式，即使編排了準確高效的安全檢測工具，也只局限于發現研發階段的漏洞，但是，漏洞往往并非只發生于開發編碼階段。

“越早發現漏洞，修復成本越低”已然是我們的共識，因此，我們在DevSecOps的實施過程中，應該建立完善的風險評估體系，在設計、架構階段就介入安全需求，讓安全任務更為徹底地實現左移，從源頭上避免漏洞的產生。

3.打破流程閉鎖，縱深安全研運體系讓價值流動

隨著交付規模不斷擴大、交付速度要求越來越高，如何在保障交付速度的前提下，確保研發質量與安全質量的一致性，仍是管理角色關注的重點。在此背景下，需要構建一套縱深安全研運管理體系，打破流程閉鎖，實現產品、研發、運維一體化管理，提高自動化能力，減弱對人工的依賴，以可視化、智能化驅動安全研運。以智能的研發效能分析為主要任務，實現交付效率、交付質量、交付能力的可視、溯源與追蹤，通過精準的分析模型，驅動管理者持續改進產研效率，助力企業向市場快速交付更多的業務價值。

四、縱深一體化安全研運管理平臺：讓價值與流程高效聯動

縱觀DevSecOps市場，當前研發效能普遍停留在簡單度量指標的展示，度量模型建設及智能決策能力還有待提高。鑒于如此，我們梳理了來自不同行業中諸多客戶的DevSecOps落地案例，總結了集安全技術能力、超前的DevSecOps組織與文化理念、完備的安全服務于一體的實踐方法，一方面，助力投資方與創新實踐者對齊行業認知，另一方面，幫助政企IT團隊精準選型，避免踩坑，順利完成安全研運一體化的DevSecOps的轉型與落地。

我們通過打造研運全流程的縱深一體化安全研運管理平臺，幫助客戶打破信息與數據隔離，采用了基于數據挖掘與人工智能技術，收集多場景、全流程的數據，搭建了領先于行業的智慧效能度量體系，幫助企業快速找到研運低效率、低質量的根源，進而通過BI決策模型輔助團隊快速交付。讓企業更高效、更可靠地，向市場持續交付高質量的業務價值。

在具體實踐中，縱深一體化安全研運管理平臺，在需求設計階段通過S-SDLC威脅建模，針對每個具體需求，在產研各個環節中，植入由安全專家發起的安全需求。

一方面，提高了產研團隊的安全防范意識，從源頭減少了漏洞產生。另一方面，我們長期堅持“授人以魚不如授人以漁“的理念”，以賦能形式整體上提高客戶團隊的安全研發能力，幫助客戶降低對安全團隊的依賴，使市場實現“研運普惠安全”。

在研發編碼階段，我們融合多種擁有自主知識產權的國產化工具，例如靜態代碼掃描（SAST）、交互式應用安全檢測（IAST）、軟件成分分析（SCA）、模糊測試（FUZZ）、動態應用安全測試（DAST）等工具，幫助客戶實現了更低的MTTD（平均檢測時間），有效地將安全風險阻隔于上線前。并且，通過對迭代、任務、缺陷、里程碑等細粒度的記錄與數據分析，實現了對研發流程的精細化管理。此外，采用了領先業內的平均交付時間、需求流負載、缺陷逃逸率等關鍵度量指標，以及基于大數據和AI技術的智能度量模型，落地了一套全流程的安全研運效能度量方法。

事實上對于客戶而言，快速、準確地檢測出問題僅僅是第一步，如何對安全問題做出快速響應更為重要。鑒于此，在上線及運營階段，我們通過建立完整的安全響應機制，有效地幫助客戶降低了MTTR（平均響應時間）。

此外，縱深一體化安全研運管理平臺配備基于數智融和的安全態勢感知數字大屏，輔助客戶實現了對安全風險的預防、持續監控、分析和快速響應。并在軟件運行階段，我們采用RASP安全防護技術，提供了隱藏漏洞的更多可見性，幫助政企有效應對運行時攻擊。

自DevSecOps理念誕生以來，業內一直處于探索演進過程中，我們專注于以更專業、更安全、更值得信賴的方式，為DevSecOps行業快速發展提供可靠的參考。

五、未來展望

隨著數字化轉型與等保升級，DevSecOps在中國市場呈現了快速增長的態勢，開源網安堅信唯創新者勝，能夠感知全盤的安全態勢，并實現體系化縱深安全防御的研運一體化產品，將引領行業發展。

關于開源網安

開源網安是中國軟件安全行業創領者，竭誠與客戶攜手構建數字化時代的軟件安全體系。經過近十載的研發與深耕，開源網安已將多項自有技術成果應用于各行業的數字化進程，引領中國軟件安全的創新與發展。

開源網安自誕生起便致力于打造自主核心技術，以捍衛中國軟件安全為使命。我們逐年推出了多款具有完全自主知識產權的安全產品（SAST、IAST、SCA、Fuzz、RASP、DevSecOps等），填補了國內軟件安全產品的空白, 完成了自有產品矩陣的構建, 更打破了國外技術的壟斷。多年來我們積累了大量與世界500強企業的合作經驗，業務覆蓋政府、金融、能源、通信、汽車、物聯網等多元化場景。期間我們曾助力多家中國大型企業通過海外軟件安全標準的認證，成就大國品質出海。在這十年間，我們屢獲國家權威認可，多次參與軟件安全國家標準制定。

未來，我們期待與客戶并肩應對瞬息萬變的數字化轉型挑戰，無論您來自任何行業，您都能在與開源網安的合作中獲得領先的、跨維度的軟件安全解決方案，實現“安全"數字化轉型。