积极防御体系进阶：《DevSecOps敏捷安全》

上市不到一个月时间，由悬镜安全创始人兼CEO、OpenSCA开源社区创始人子芽撰写，10位学术界和企业界权威安全专家联袂推荐的《DevSecOps敏捷安全》，登顶京东、当当【新书热卖榜】双榜TOP1。

作为网络安全产业的热门赛道，DevSecOps近年来已然成为云原生时代下企业组织在软件安全开发和软件供应链安全领域关注的重点。这部DevSecOps软件供应链安全领域的专业著作，在业内首次体系化论述DevSecOps敏捷安全的实战性著作，为企业应对软件开发方式敏态化与软件供应链开源化带来的安全挑战提供了解决之道，它能有效指导企业快速将安全要素完整嵌入整个DevOps研运一体化体系，在保证研发效能的同时又能够实现敏捷安全内生和自成长，凭借着体系创新、注重实战、全球视野、前瞻性强等特点，一经出版就广泛吸引业界目光。

数字经济时代，万物可编程，软件逐渐成为支撑社会正常运转的最基本元素之一，是新一代信息技术的灵魂。

子芽敏锐地洞察到，随着云计算、微服务和容器技术的快速普及，不仅IT基础架构发生了巨大变化，IT组织的业务交付模式也迎来巨大变迁——从传统瀑布式开发和一次性全量交付逐渐趋向DevOps敏捷开发和持续性交付。在业务交付规模不断扩大、交付效率要求不断提高、研发及运营场景走向一体化的大环境下，如何在保证快速交付节奏的前提下保障业务安全性是安全部门最大的难题。因此，DevSecOps敏捷安全应运而生。

DevSecOps（Development Security Operations）是一套基于DevOps体系的全新敏捷安全实践框架，整合了开发、安全及运营理念，于2012年被首次提出，但彼时发展时机尚未成熟。直到2016年9月，全球最具权威的IT研究与顾问咨询公司Gartner发布报告“DevSecOps: How to Seamlessly Integrate Security into DevOps”，首次对该模型及配套解决方案进行了详细分析，阐述的核心理念为：安全是整个IT团队（包括开发、测试、交付、运营及安全团队）中所有成员的责任，需要贯穿软件生命周期的每一个环节。

自2017年起，DevSecOps敏捷安全已连续6年作为研讨议题，入选全球信息安全领域最具影响力的盛会RSA Conference（简称RSAC）。至今，DevSecOps赛道厂商也已连续4年入围有着“全球网络安全行业风向标”之称的RSAC创新沙盒比赛十强。

全球知名咨询公司IDC在今年发布的一份报告中，将DevSecOps定义为云安全领域中的变革型技术。DevSecOps之所以被业内专家普便看好并处于快速发展的上升阶段，很大程度上是由于云原生时代，数字化应用自身安全乃至整个软件供应链安全面临复杂多变的风险挑战。

对此，子芽在书中做了总结：现代软件基本是组装的，混源开发也已成为现代应用主要的交付方式，并且云原生时代数字化应用架构由单体向微服务进化、软件开发模式由传统瀑布式开发向DevOps敏态开发模式进化、应用运行环境由传统IT服务器向容器进化，这些正深刻地影响着软件供应链的安全。

我们不难发现近年来软件供应链安全事件频发，从2014年的心脏滴血漏洞到去年爆发的Log4j2.x重大未知漏洞，开源软件漏洞、开发工具被污染、厂商预留后门、升级劫持等软件供应链安全风险层出不穷。

整个软件供应链的主要安全风险集中在上游的软件开发环节、中间的软件供应环节和下游的软件使用环节。其中在开发和使用环节进行的研运一体化安全风险治理即DevSecOps，正是软件供应链安全治理和运营的关键之一。

为了覆盖软件全生命周期的数字化应用安全风险，打造安全可信的软件供应链，金融、能源、泛互联网、智能制造、航空工业等各领域的企业组织正积极拥抱DevSecOps并付诸转型实践。基于此，子芽在书中将DevSecOps软件供应链安全领域领军企业悬镜安全多年来的前沿技术创新研究和行业应用实践沉淀进行梳理，原创并首次提出实战化DevSecOps敏捷安全架构——DevSecOps敏捷安全体系。

子芽指出，该体系自诞生以来，演进目标和方向就是将安全作为一种将基本的内在属性柔和地融入DevOps研发及运营活动，在组织内逐步推动形成一个由所有主要IT角色参与、贯穿软件开发全生命周期、高度应用自动化安全技术的敏捷安全体系，帮助企业组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

 DevSecOps敏捷安全体系

子芽在书中构筑整个体系架构，提纲挈领，深度阐述了敏捷安全的三大核心内涵：

1. 实践思想：安全左移，源头风险治理；敏捷右移，安全运营敏捷化；

2. 理念：以人为本，技术驱动；同步规划、同步构建、同步运营；

3. 关键特性：内生自免疫；敏捷自适应；共生自进化。

此外，从文化、流程、技术、度量这四个维度梳理了整个敏捷安全框架，并汇聚了悬镜安全多年来在DevSecOps、软件供应链安全和云原生安全等领域的核心技术研究成果，如基于单探针的代码疫苗和新一代积极防御框架。 

DevSecOps落地实践参考，尽管有悬镜新一代DevSecOps敏捷安全体系作为参考，但企业因受制于自身文化、业务、技术、人员、开发模式等现状，在落地实操过程中仍会遇到不同程度的困难和挑战。

子芽指出DevSecOps实践要想获得成功，离不开以下四大支撑：安全组织和文化、安全流程、安全技术和工具、安全度量和持续改进。他认为企业需要重组安全组织、重塑安全文化，对安全流程进行改造，引入新的安全技术和工具，集成到DevOps流程，并通过安全度量及持续改进（主要包括规范、流程、技术、工具等）优化DevSecOps。只有这些方面同时向前推进，企业建设DevSecOps的成功率才能极大地提升。

为此，子芽在书中给到了真正意义上的企业进行DevSecOps规划设计、建设实践和运营优化的参考和指导，引领大家从文化、流程、技术、度量等四个维度来学习DevSecOps的设计原则和经验总结，并针对如何从0到1到N持续进阶建设DevSecOps给出了全过程指导，同时为还未完全具备DevSecOps实践条件的企业给出了富有建设性的意见。

正所谓“他山之石，可以攻玉”，子芽还在书中详细拆解了国内多个行业头部机构以及Netflix、Salesforce等大型国际组织的DevSecOps落地实践案例，从不同行业的背景、面临的挑战、建设方案及建设特点进行分析，便于企业结合自身安全文化特点、人员能力、技术成熟度等现状去有选择地借鉴。

在本书的最后还附有一张DevSecOps敏捷安全落地实践参考图，能帮助企业组织基于软件全生命周期，对全流程各个环节对应的安全活动、安全工具进行查漏补缺。

“学到的就要教人，得到的就要给人。”子芽在书的前言中回忆到，在他研究生求学期间，导师曾这样要求过他们：“如果把人类现有的认知比作一个圈，那么当博士毕业时，我们的研究实践成果至少可以将现有认知向外再踏出一步。”这个要求至今对他和悬镜团队都有着巨大的影响，并促使他们始终致力于在DevSecOps这个新的前沿技术领域，凭借长期的技术积累来推动中国的安全产业向新的未知空间做更深层次的探索。

子芽希望通过《DevSecOps敏捷安全》这样一本DevSecOps软件供应链安全领域的专业书籍，借助书中的理论阐述、体系构筑、技术研究、实践沉淀及技术演进预测，推动更多行业用户、技术爱好人员、专家学者及产业智库，结合自身业务和组织特点，去尝试了解、对比学习甚至着手采纳业内领先的DevSecOps敏捷安全体系及落地实践经验，从源头追踪软件在开发、测试、部署、运营等环节面临的应用安全风险与未知外部威胁，为企业组织提供内生安全赋能。同时，他也希望本书不仅能够成为新一代敏捷安全体系建设的指南，也能鼓励更多不同类型的技术力量与DevSecOps行业开展新的对话。