什么是 DevSecOps？

随着 DevOps 技术发展，软件开发周期缩短，软件在开发周期结束后再进行安全性保护已经不符合如今的软件开发流程，无法有效保障软件的安全性。DevSecOps 工作原理是让开发、安全、IT 运营团队共同负责软件和基础设施开发时的安全性，DevSecOps 能够将应用程序和基础架构的安全校验与应急操作，深度融合至 DevOps 流程中。开发过程中出现安全漏洞时，会立即进行处理，不影响软件开发进度，从而尽早规避安全风险。

DevSecOps 和 SDL 都是开发安全治理的方法，DevSecOp 重点在工具链的落地，SDL 则是注重整体流程治理。此外，两者在在开发模式和实现方式上存在不同。DevSecOps 是在 DevOps 开发模式中添加安全策略，整体周期较短，效率更高，而 SDL 使用的是瀑布开发模式，开发周期较长。SDL 实现方式更依赖人力，如安全培训、威胁建模，DevSecOps 则是 IAST 的进一步创新实践，并且漏洞检测效果更优。

DevSecOps 的优势包括效率交付、主动安全性以及开发自动化与自适应。DevSecOps 可帮助每位开发者，提升风险防控意识，目标是在不牺牲安全性的前提下，帮助开发团队更有效率地完成开发、降低成本。

DevSecOps 和 DevOps 的差异非常明显，两者虽然都是利用敏捷框架强调动态和连续的工作流程，都对简单任务使用了自动化技术。但 DevSecOps 更关注软件开发的安全性，确保在开发的每个阶段都满足安全策略，这一点是 DevOps 所忽略的，DevOps 更强调软件的开发和发布速度，由此会导致开发过程中往往留存一定漏洞，并致使开发人员和安全专家工作超载。也就是说，它对于开发的安全性重视不足。