DevSecOps的背景和意义

笔者认为DevSecOps的出现将对应用及IT基础设施的安全管理产生极其深远的意义，DevSecOps的广泛应用将标志着应用及IT基础设置的安全管理进入到一个全新的时代，将安全作为管理对象的一种属性，从应用和IT基础设施开发开始进行全生命周期的安全管理，构建一个安全属性很高的应用或IT基础设施，而不仅仅是通过安全为应用和IT基础设施提供保障。笔者认为，DevSecOps的应用将彻底改善企业和机构在应用和IT基础设施的安全现状。

过去安全开发跟安全运营总是割裂开，回顾企业和组织机构以往对应用及IT基础设施安全管理的态度和内容，我们可以将其简单地划分为两个阶段——“安全事故管理阶段”和“安全风险与合规管理阶段”。

第一阶段，企业和组织机构对应用和IT基础设施的安全管理聚焦在安全灾害事故管理上，通过快速发现和响应安全灾害事故抑制事故影响面、减少损失。

第二阶段，频繁发生的安全灾害事故促使主管机构、企业和组织机构对应用系统和IT基础设施开始进行安全风险和合规的管理，希望能做到防患于未然。当前，合规和安全风险管控仍然是全世界大多数企业信息安全业务领域的主要的目标。

由于绝大部分企业IT部门会采用开发团队负责价值交付、运维团队负责可用性保障、安全团队负责安全保障的方式完成IT业务的管理，导致大部分企业和机构的安全、开发和运维部门业务目标相互独立、割裂，有时甚至是对立和冲突，最终导致安全风险的闭环管理时间周期长、成本高。要实现安全风险彻底闭环管控，有必须采用DevSecOps的理念，将开发、运维和安全有效整合在一起，做到安全问题，人人有责。

DevSecOps实践的主体内容

DevSecOps的实践可能会颠覆企业现有的IT开发与运营模式，如今DevSecOps有希望让二者展开协作。为了确保能开发出安全性高的应用和IT基础设施，安全领域工作范围需要贯穿开发和运营环节，有可能会颠覆现有的开发和运营的模式。RSA大会DevSecOps研讨专题演讲嘉宾Chris Carlson做了比较详细的介绍。