前沿 | DevSecOps筑牢企业安全发展的基石 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 中国信息通信研究院牛晓玲

近年来，企业在提升软件交付质量和效率的同时，也面临着软件安全漏洞、网络攻击等安全问题。为应对这些挑战，业界引入了 DevSecOps 这一新术语与新理念，将安全作为推动 DevOps 发展的重要保障和基石。DevSecOps 的核心在于将“安全左移”，即在软件开发周期的早期阶段引入安全措施，从而尽早发现并修复安全问题，降低成本，提高响应能力。DevSecOps 的研究和实践对于推动企业安全发展至关重要。它不仅能够提升软件的安全性，还能在不降低开发速度的前提下，确保企业能够快速响应安全威胁，从而在竞争激烈的市场中保持领先地位，真正成为筑牢企业安全发展的基石。

一、DevSecOps的内涵及特点

DevOps 是开发（Dev）和运维（Ops）的缩写，是一组过程、方法与系统的统称，强调业务人员及 IT 专业人员（包括开发、测试、运维等）在应用和服务生命周期中的协作和沟通。它强调整个组织的合作以及交付和基础设施变更的自动化，以实现持续集成、持续部署和持续交付的无缝集成。

DevSecOps 是将信息安全能力整合到 DevOps 的工作流程中。研发、测试、运营、安全等多个部门紧密协作，提升开发和运营的敏捷性，同时保障数据和服务的可用性与安全性。DevSecOps 是一种全新的安全理念与模式，强调安全是每个人的责任，要求将安全内嵌到应用的全生命周期。在确保安全风险可控的前提下，它帮助企业提升 IT 效能，更好地实现研发与安全运营一体化（如图1所示）。

图1 DevSecOps概念示意图

DevSecOps 强调建立内生安全体系，并进行持续不间断的安全防护，旨在进一步提高研发效率和安全问题的检出率，同时有效降低因安全问题导致的修复成本，并提升产品安全质量及安全文化的建设。DevSecOps 能力建设总体上具备以下特点。

安全可控。为了实现软件全生命周期的风险管控，安全工具链的建设需要包含漏洞管理、安全检测、安全预警等功能，从而提高风险的可控性。

降本增效。通过将安全工作“左移”，即在开发和规划阶段引入安全机制，实现早期检测和修复，从而减少后期因大量故障修复产生的成本。

故障恢复。通过将开发、测试、运营过程中的流程规范和实践工具平台相结合，大幅提高故障恢复时间指标与恢复能力。

安全责任。强调安全应由每个人负责，通过对开发、测试、运维人员进行安全培训和教育，提高团队之间的协作、安全与责任意识。

二、企业DevSecOps的落地实践路径

从企业落地实践的角度来看，企业需要从控制通用风险、控制开发过程风险、控制交付过程风险和控制运营过程风险四方面，推动研发安全运营一体化能力体系的建设（如图2所示）。

图2 DevSecOps全生命周期的安全能力建设

控制通用风险。在 DevSecOps 模式下，企业需要通过对安全组织建设和人员安全文化的培养、安全工具链的打造、基础设施管理、第三方管理、数据管理、度量与反馈改进等能力建设，持续完善企业控制通用总体风险体系。在组织建设和人员管理方面，应明确各方人员职责，对研发、测试、运维等人员进行有效管理，提倡人人为安全负责。在工具链建设方面，企业需要关注工具链的完整性，及安全工具本身的有效性和安全性。在第三方管理方面，应关注对第三方机构、人员、软件等的安全管理能力。在数据管理方面，从数据的采集、存储、传输、处理等数据生命周期角度出发，结合制度、流程及工具进行安全合规的管理。此外，企业还需建立度量与反馈机制，促进团队信息共享、确立改进方向并衡量改进效果，从而形成有效的闭环管理机制。

控制开发过程风险。为保障企业研发运营一体化的整体安全，必须在应用需求阶段就开始实施安全风险管理。通过建立企业级安全需求平台库和管理平台等措施，从源头控制风险，同时关注架构与设计的安全风险，比如通过基础安全设计规范、攻击面分析、威胁建模等手段，有效识别和防范风险。在开发管理过程中，引入安全编码规范和检测机制等措施，以降低开发过程中的安全风险。

控制交付过程风险。安全交付是实现安全运营的前提条件。通过将配置管理、构建管理、测试管理及部署与发布管理等交付过程纳入安全风险管理，确保系统、产品、服务可以在安全完整的最佳状态下实现交付。在配置管理方面，企业需关注源代码、依赖组件、发布制品和应用配置的安全管理。在构建管理方面，需提升构建过程的安全性、可靠性和可追溯性。

控制运营过程风险。将安全内建于运营过程中，通过监控、运营、响应等手段实现技术运营过程中的安全风险闭环管理。在安全监控方面，需制定明确的安全监控管理要求，建立安全监控机制，通过监控管理平台实现监控关联分析，提前识别安全问题及风险。在运营安全方面，通过安全监测、缺陷识别和处理等方式，最大限度地降低安全问题对生产运营的影响。在应急响应方面，通过及时预防、跟踪和处置安全事件，消除安全事件及其影响，保障业务连续性。在运营反馈方面，关注安全信息的动态完整性，通过完善的持续反馈流程机制和反馈平台，实现研发运营过程安全的持续优化和改进。

三、DevSecOps发展趋势和展望

随着 DevOps 的广泛应用及日趋成熟，DevSecOps 也呈现出多元化的发展趋势。根据由云计算开源产业联盟牵头编制的《中国 DevOps 现状调查报告（2024）》调查结果，DevSecOps 在企业中的影响力和重要程度继续提升，实践 DevSecOps 的企业比例首次超过70%。从技术发展趋势来看，主要包括以下几点。

一是企业更关注自动化程度的提升。企业的自动化水平是企业运营效率的重要组成部分。随着 DevSecOps 的进一步落地实践，人工智能（AI）和大模型等新技术正在与自动化技术融合，帮助企业简化流程并扩大决策范围。通过工具链代替日常工作流程中的手动操作，企业不仅避免了人为操作失误的可能性，还能提高安全团队的工作效率。

二是企业将安全工具持续整合进工具链。在将安全性纳入流水线工具之前，企业需要制定符合自身特点的解决方案。因此，安全工具与工具链的整合已变得非常普遍。根据 Gartner 的公开数据，已有 75% 的组织将工具链的可观测性和监控纳入一体化平台。同时，根据《中国 DevOps 现状调查报告（2024）》的数据，已有71.86%的企业引入了 DevSecOps 实践。由此可见，在安全与 DevOps 的融合过程中，安全管控的必要性、自动化、智能一体化和可观测性等已成为企业实施 DevOps 的关键属性。

三是基础设施即代码（IaC）将在 DevSecOps 中逐步深入应用。基础设施即代码（IaC）通过将基础设施配置参数作为代码进行管理。比如，使用 IaC 工具确保所有基础设施配置符合安全合规性要求，如自动检查云服务配置是否遵循 OWASP 安全原则。在 CI/CD（持续集成和持续部署）流程中集成安全扫描工具，如使用静态代码扫描工具或自定义脚本，以自动检测 IaC 代码中的安全漏洞。利用 Git 等版本控制系统管理 IaC 配置，确保所有变更经过代码审查和批准，从而减少人为错误带来的安全风险。可以预见，IaC 在安全领域的应用将越来越广泛和深入，它将在 DevSecOps 中帮助团队以更系统化和自动化的方式处理安全问题，提高整个组织的安全性和效率。

四是企业通过 SBOM 等方式尽可能降低风险。在美国总统行政办公室下属的管理和预算办公室（OMB）发布的关于“通过软件安全开发实践增强软件供应链安全”主题的备忘录后，软件材料清单（SBOM），即代码库的清单，成为了确保软件完整性，保护系统免受威胁和漏洞困扰，降低风险的行业基准。根据《中国 DevOps 现状调查报告（2024）》的数据，已有超六成企业关注基础设施安全，包括网络安全、操作系统安全以及云原生安全等；数据安全以及源码安全分别占比 46.2% 和 46.64%。有些企业在代码提交到版本控制系统之前，通过 SBOM 进行代码审查，确保没有引入不安全的代码或不合规的依赖项。在安全漏洞识别和修复方面，企业可以利用 SBOM 中的信息，通过自动化安全工具扫描已知漏洞。例如，当开源日志组件 Apache Log4j 被发现有漏洞时，企业可以快速检查是否使用了受影响的版本，并采取相应的修复措施。SBOM 可以帮助企业更好地控制软件开发和运营过程中的风险，提高软件供应链的透明度和安全性。

五是持续培养团队的安全意识与文化建设。DevSecOps 的成功实施需要企业内部文化的转变。安全不应该仅是安全部门的责任，而是需要全员参与，人人有责。因此，团队的安全意识培养至关重要，需要确保团队所有成员都了解安全的重要性，并具备实施安全措施所需的知识和技能。研究数据显示，企业成员的安全意识培训和敏感信息权限隔离占比为27.39%，仍需进一步提升。企业应重视企业级安全意识文化的培养和建设，并在整个组织中推广，以更好地保障企业行稳致远。

未来，DevSecOps 将进一步深化应用，加快推动企业内部研发效率的提升。在提升效率的同时，也需构建科学合理的安全风险防控体系，完善安全责任体系和制度支撑体系，增强企业员工的主动安全意识，让每个人都为安全负责。通过 DevSecOps 一体化安全，筑牢企业安全发展的基石，维护企业安全稳定运营和长足发展。

（本文刊登于《中国信息安全》杂志2024年第7期）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情