悬镜&Freebuf |《2022 DevSecOps行业洞察报告》

随着云计算、微服务和容器技术的快速普及，不仅IT基础架构发生了巨大变化，IT组织的业务交付模式也迎来巨大变革——从传统瀑布式开发和一次性全量交付逐渐趋向DevOps敏捷开发和持续性交付。在业务交付规模不断扩大、交付效率要求不断提高、研发及运营场景走向一体化的大环境下，如何在保证快速交付节奏的前提下保障业务安全性是安全部门最大的难题。DevSecOps敏捷安全应运而生，它通过一套全新的方法论及配套工具链将安全能力完整嵌入整个DevOps体系，在保证业务研发效能的同时能够实现敏捷安全内生和自成长。

悬镜安全联合FreeBuf咨询连续两年共同发布《2022 DevSecOps行业洞察报告》，从行业用户、厂商力量及安全媒体等综合视角洞察并分析DevSecOps在国内的发展现状，并前瞻性预测DevSecOps的发展趋势，旨在为企业组织提供安全建设的有效参考，推动更多用户结合自身业务特点，尝试了解、对比学习甚至着手采纳业内领先的DevSecOps敏捷安全体系及落地实践经验，逐步构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

图1 《2022 DevSecOps行业洞察报告》

报告上篇为“调查篇”，通过问卷调查、资料收集、交流访谈等形式开展相关调研工作，旨在了解DevSecOps实践者和潜在实践者的想法、做法以及遇到的问题。通过对1639名不同IT背景的专业人员进行调研，发现DevOps依旧持续发挥着重要的流程支撑作用，越来越多的企业组织在安全措施层面正发力追赶，力求实现安全自动化，与DevOps更好地融合，构建DevSecOps体系，从而使企业在持续开发、持续集成、持续发布的运作模式下仍能保持研发效能和应用安全，实现持续创新，进而在激烈的市场竞争中保持领先地位。

此外，近年来SolarWinds Orion供应链攻击及Log4j2.x开源组件漏洞爆发等事件都在彰显着软件供应链攻击带来的巨大破坏力，软件供应链安全已引起全球的高度重视，成为了近年来热门话题之一。因此相较于2020年的DevSecOps行业洞察报告，本次调查新增了软件供应链安全现状模块。

报告下篇为“洞见篇”，基于悬镜安全在技术研究和应用实践层面的创新成果，融合了行业安全专家及咨询师的思考和判断，旨在阐述DevSecOps在当下的发展态势，以及预测未来的发展趋势，帮助DevSecOps实践者梳理出前瞻性的实践思路。

在2020年的DevSecOps行业洞察报告中，DevSecOps敏捷安全技术金字塔被首次提出，随着DevSecOps实践的不断发展，目前已迭代至2.0版本。本次报告对2.0版本的DevSecOps敏捷安全技术金字塔进行了全方位地深入解读，将CARTA（持续自适应风险与信任评估）、API Fuzz（模糊测试）、BAS（入侵与攻击模拟）等一系列主要技术重新归类，并进行了全面的介绍和专业的评价。

在应用实践层面，报告选取了车联网、泛互联网、通信运营商三大具有代表性的行业，分析其DevSecOps落地实践现状，简要描述其面临的风险和挑战，以及在此背景下构建的DevSecOps实践案例，供DevSecOps实践者参考和借鉴。

图2 DevSecOps敏捷安全工具金字塔2.0

最后，报告还重点分析了SCA（软件成分分析）和RASP（运行时应用自我保护）这2022年度两大热点技术，并预测了DevSecOps实践趋势。

英国哲学家怀海德曾说：文明的进步，就是人们在不假思索中可以做的事情越来越多。DevSecOps力求通过对文化、流程、工具的重塑，让软件应用的安全保障工作润物细无声地在组织中流转，以实现安全地生产软件及生产安全的软件。无疑，DevSecOps的这一目标代表着数字文明进步的方向。而作为实践者的我们所要做的，就是脚踏实地地将这一目标变为现实。

关注“DevOps安全社”公众号，后台回复关键词：悬镜DSO2022，即可下载。

扫描二维码，关注“DevOps安全社”公众号