不仅仅是安全左移，DevSecOps发展历程背后的安全指引 | FreeBuf咨询洞察

DevSecOps 强调将安全融入 IT 生命周期的每个阶段，要求把安全责任从安全团队迁移至整个企业。

报告关键发现

1. 从瀑布模型到敏捷模型，持续交付、持续部署CI/CD成DevSecOps核心理念。

2. 在DevSecOps主流工具链中，AST类测试工具是验证应用开发、编码阶段安全性的关键。其中，IAST尚处于探索阶段，其交互式测试模式使之具备高增长潜力。

3. 从微服务走向无服务将会成为未来DevSecOps的主流发展趋势，以进一步降低计算资源成本并实现按需扩展、按需付费。

4. DevSecOps实践形态将不再局限于将安全工具嵌入DevOps平台，而是直接成为独立的一体化平台。

5. DevSecOps未来将以无感知安全为核心目标，尽可能降低安全工具对于企业业务生产及运作的干扰。

DevSecOps 不是一项单一的技术能力，而是一套流程化的企业安全建设体系。随着DevSecOps逐渐成为安全行业备受关注的新热点，“安全左移“、安全责任归属、敏捷开发、敏捷交付等相关话题也得到了业界的广泛讨论。在此背景下，FreeBuf咨询特别发布《洞察DevSecOps发展历程背后的安全指引》报告，在剖析DevSecOps实践路径、应用工具使用现状的同时，也从DevSecOps的发展历程入手，洞察企业安全建设中的策略调整与未来规划趋势。

DevSecOps的概念最早于2012年被Gartner分析师首次提出。2016年，Gartner发布业内首份DevSecOps报告，对DevSecOps及配套解决方案进行详细分析。2017年RSAC会议引入DevSecOps概念，提出“安全左移“的概念。

随后DevSecOps的理念受到RSAC的持续关注，在之后几年的会议中相继提出CI/CD黄金管道、设立“DevOps Connet“子主题，组织内部DevSecOps转型方法等内容，分别强调自动化工具链的使用、DevSecOps落地实践中的文化融合意义以及人在DevSecOps中的重要性。

当前，将风险管理、合规治理等多重因素融入DevSecOps框架成为业界主流趋势。

中国信通院数据显示。近年来，大型企业DevSecOps引入占比逐年递增，从2020年的不到5成（41.3%）增至2022年超6成的水平（63.5%）, 其复合增长率超过20%。

此外，从组织架构层面而言，安全责任逐渐从安全团队向整体企业迁移。根据GitLab 发布的2022年DevSecOps调查显示，超53%的受访企业认为安全属于企业中每个人的责任。

DevSecOps的核心在于将安全性融入软件开发生命周期的每个决策阶段，具体包括：规划、编码及开发、代码推送、软件测试、软件发布前、部署、运维阶段。

与此同时，企业应对可能存在的违规行为进行持续监控，跟踪系统性能并在早期阶段识别任何漏洞，以适应不断变化的业务及外部环境。

中国信通院对DevSecOps技术工具实践现状按照阶段进行统计，具体包括需求与设计阶段、编码阶段、验证阶段、预发布阶段及运行阶段。根据FreeBuf咨询的梳理，编码阶段的安全性受到企业最高的关注程度。

报告全文见下图：