关于DevSecOps的一些看法（一）

本文先用整理的两张流程图介绍传统瀑布式开发流程和安全在瀑布式开发中的实践，在加快软件交付背景下，瀑布式转为敏捷式开发后DevOps的诞生，最后对DevSecOps的一些思考。

传统瀑布式开发生命周期

    传统瀑布式开发的安全实践

    DevOps的诞生

尽快向客户交付新产品和功能的必要性，使冗长的瀑布式流程无法与更敏捷、反应更灵敏的市场竞争，敏捷开发（在较短的交付周期内交付软件）+容器化+自动化测试，将完整的制品持续集成/持续部署（CI/CD）。从而推动了从传统瀑布式到DevOps （开发+运维组合）的新模式。

     DevOps放慢速度是不可行的 , DevOps提供更快的交付速度、更强的敏捷性和对需求变化的响应能力，安全需要紧跟步伐，因此软件交付团队和安全团队合作方式的需要发生转变，以实现将安全集成到敏捷框架和DevOps持续反馈循环的一部分中。此时面临的主要挑战是安全实践如何适应较新的模式？

    DevSecOps安全实践的思考

    不能简单地将安全工程师添加到DevOps团队并称之为“DevSecOps”；

    通常，安全工程师与开发工程师的比例不平衡，超负荷工作的安全工程师难以满足交付团队实现产品快速迭代交付的步伐，因此需将安全文化和安全实践无缝嵌入到整个组织中，将安全左移到DevOps最前面来创建DevSecOps；

    DevSecOps在继续提供产品功能快速迭代的同时，也提高软件产品的安全性和公司竞争优势。