什么是SecDevOps

由于十分之九的漏洞是从代码缺陷开始的，难怪公司急于将安全性纳入他们的开发管道中。伴随着这种热潮，出现了一个全新的行业–开发设备–以及与之相适应的行话。

Rugged DevOps

Rugged DevOps专注于将安全融入发展的文化。Josh Corman、Jeff Williams和David Rice撰写的宣言强调了“创建可用的、可生存的、可防御的、安全的和弹性的软件的能力”，在这个威胁环境不断变化的世界中，软件可能以我们从未想过的方式使用。它不依赖于特定的开发方法，而是关于作为开发的一部分不断发展的安全性的积极主动。

Security-by-Design

正如它听起来的那样，设计安全侧重于在产品或特定功能中构建安全的编码实践。它着眼于在最早阶段应用稳健的安全控制，以最小化攻击表面积，并预测风险区域，以确保防御深度。您经常会在这里听到威胁建模之类的练习–在某些方面，它类似于预测笔测试，在编写代码之前，您试图查看代码可能被恶意使用的方式。

左移

Shift-left专注于在开发生命周期的早期移动安全性测试–实际上是在过程中向左移动。重点放在SDLC中安全测试的时间、地点和频率。它在很大程度上依赖于DevOps管道的自动化，以支持AppSec测试与开发并行。然而，公司经常在这方面苦苦挣扎，因为他们担心测试太快，破坏了速度和安全之间的平衡。

只有DevSecOps，还是将安全集成到开发管道中的总括术语，有三个子变体，即DevSecOps、DevOpsSec和SecDevOps。
我们认为这是有区别的，与DevSecOps的三个变体实际上反映了将安全集成到开发管道中的成熟度。

DevOpsSec把安全放在她的开发之后。它仍然意味着一定程度的集成到开发过程中（相对于DevOps+Sec)，但只有在代码已经在生产中之后。90%的公司在代码进入生产后就开始进行安全测试，尽管在生产中修复漏洞更加困难和昂贵。

你有DevopsSec吗？

• 安全团队与开发团队隔离开来，除了在危急情况下，他们之间的互动有限
• 您定期安排漏洞扫描，因为您知道安全性不仅仅是遵从性
• 结果在单独的工作流程中管理，可能是手工管理的

DevOpsSec就像建造一所房子，让它的居住者搬进来，然后检查它是否建造正确。然后到了修复它的时候，它需要更长的时间，而且从来都不是非常正确的…

DevSecOps

DevSecOps专注于将测试工具集成到开发管道中。然而，由于专注于工具，它缺乏项目上下文，这意味着在速度和安全性之间需要权衡。当57%的开发团队每周或更频繁地发布代码时，现在，很难说，让我们慢下来。
你有DevSecops吗？

• 安全和开发团队对彼此的流程具有可见性
• 安全测试不仅仅是SAST和DAST，它使用IAST和RASP以及SDLC的其他组件（例如容器安全、云配置安全）
• 结果在同一产品管理平台中管理

回到我们的建造房屋类比，DevSecOps就像是在建造时汇编一份需要修复的东西的打孔列表，但没有足够的信息来知道修复它们的顺序，或者它们是否需要全部修复。

SecDevOps

SecDevOps是关于将安全性集成到开发过程中的。通过关注安全过程与开发过程的一致性，而不是仅仅关注工具，安全可以集成到每个阶段，然后由工具支持而不是由工具阻碍。
你有SecDevOps吗？

• 安全和开发团队有一个定期的、集成的节奏（Sec甚至可能参加代码审查！）
• 项目根据项目详细信息获得指定的特定策略
• 结果被自动排序并作为工作项集成回开发工作流

SecDevOps是我们建造房屋的方式：流程是预先定义的，以确保在正确的时间进行检查，关键项目在推进之前得到固定，而其他项目可以适当地确定优先级并在以后固定，或者允许成为安全债务的一部分。
任何转变都不会在一夜之间发生。然而，达到最终的SecDevOps状态并不是一个乌托邦式的梦想，而是当您将开发、运营和安全团队使用的人员、流程和工具对齐时，很容易实现的梦想。