DevSecOps作為安全領域中逐漸步入成熟期的技術體系，本質上承繼了安全開發生命周期(SDL)安全關口左移的理念，DevSecOps總結起來就是：能力集成，持續學習，文化融合。其中融合這一理念也體現在了今年RSAC DevSecOps day的主題上-DevOps Connect，通過CI/CD(持續集成/持續交付)并有效度量，實現效率提升。

　　本屆會議上，文化融合和沖突成為了演講者聚焦的重點話題，比如紅隊文化和開發人員之間的沖突，技術人員和非技術人員的沖突(包括HR等職能部門)、管理者和被管理者的沖突等。以紅隊與開發者的沖突場景來舉例：紅隊習慣制造驚喜(提出高危漏洞，但不提供解決方案)、獲取機密(用紅隊做掩護而獲取隱私數據)，而這些都不被開發人員以及組織所輕易接受。

　　文化沖突的體現

　　大量從業者意識到DevSecOps實施過程帶來的文化沖突，并嘗試解決這個問題，重要手段之一就是文化轉型。為此，Larry Maccherone在會議中提出了Dev[Sec]Ops宣言：

　　l 建立安全而不僅僅是依賴安全；

　　l 依賴賦能的工程團隊而不僅僅是安全專家

　　l 安全的實現功能而不僅僅是安全功能

　　l 持續學習而不是閉門造車

　　l 采用一些專用或常用的實踐而不是偽全面的措施

　　l 以文化變革為基礎而不僅僅依賴規章制度

　　文化的建立和轉型不僅要運用培訓宣貫、會議溝通這類手段，還需要對組織的重新設計，比如建立擰麻花式的開放式組織，將安全人員融入每一個開發團隊，而不是建立封閉的部門。這種方式，使得掌握安全能力的人員深入業務、開發、運維等各個領域，讓DevSecOps真正創造價值，避免成為效率瓶頸。

　　解決沖突的過程同樣離不開自動化和度量。借用演講者的一句話：將一切簡單的東西自動化，將精力聚焦在復雜的事情上 。基于這一原則，提升簡單領域的自動化和集成程度，聚焦在業務領域的復雜問題上(業務領域知識、組織、管控流程)，企業可逐步建立并實現DevSecOps領域的實施路線圖和里程碑。

　　本屆會議上，可以看到度量機制被實踐DevSecOps的組織以及演講者廣泛應用。度量機制的好處就是效率提升可以量化，用數字說話，這是減少沖突的一種有效方式。關于DevSecops的實施路線和度量理念，Larry Maccherone提出9個實踐關鍵點和文化接受度的7個階段。

　　9個實踐關鍵點包括：

　　l 安全意識

　　l 安全編碼

　　l 威脅建模

　　l 第三方導入代碼分析

　　l 代碼編寫分析

　　l 團隊合作協議

　　l 高危脆弱性清理

　　l 同業人員評審

　　l 安全評估

　　DevSecOps的9個關鍵實踐

　　通過對9個關鍵實踐進行分為7個階段的度量標注，運用不同顏色直觀展示DecSecOps在組織中的實踐和接受程度，使企業對其安全開發能力和發展狀態有了全景認識，為后續持續和深度的改進打造良好的基礎。

　　從抵制到文化融入的7個階段

　　綠盟科技安全服務團隊經過在金融、企業、運營商等行業的多年實踐，總結形成了基于DevSecOps進行組織安全開發能力提升的5個關鍵成功要素，即

　　l 安全開發管控流程

　　l 安全開發知識庫及工具

　　l 安全人員組織

　　l 度量與評價指標

　　l 持續優化

　　圍繞上述要素，綠盟科技安全服務團隊設計了基于SDL和DevSecOps的安全開發能力提升服務方法論和整體框架，并構建安全開發能力平臺輔助安全服務的實施過程，通過基于服務能力的平臺產品實現對實施過程中各類安全開發資源的集成與管控：

　　l Jenkins、Gitlab等DevOps工具鏈的集成

　　l 6種代碼安全審計工具以及超過3000條規則的定制與梳理；

　　l 專家級知識庫

　　n 基于威脅建模的威脅庫

　　n 900條+，針對4大類應用安全、通信安全、系統部署運維安全、典型業務場景安全的安全需求庫

　　n 覆蓋82個場景，540個安全設計的安全設計庫

　　借助安全開發能力平臺可以程度上將安全開發的管控時間點左移，從而在持續集成階段即解決代碼安全問題，并通過專家級知識庫的構建，降低了組織對于無論是Dev、Sec或者Ops人員的安全能力要求，并通過綠盟科技具有豐富的全行業項目經驗的安全服務顧問進行全程現場輔導，協助企業完成跨部門的安全文化構建和流程打穿，最終實現安全開發工作的全程閉環。

　　關于DecSecOps社區

　　由DecSecOps社區組織的2019年的RSAC DevSecOps day 的活動熱度超出預期，同樣對比CSA社區的熱度已經明顯下降，其推出的讀物以及海報均下載，是了解DevSecOps技術和文化的重要窗口。會議現場DevSecOp社區通過對負責造輪子的安全廠商與注重實踐經驗分享的第一方進行空間上的分割，也一定體現了DecSecOps社區的業界生態理念。相信在下一屆的DevSecOps上會看到ShiftLeft等創新沙盒中異軍突起廠商的加入。

社區廠商

社區讀物

DevSecOps海報