记录一下关于DevSecOps的思考(1)

最近我的组长给我了一本《DevSecOps实战》，这几天快看完了，来记录一下关于DevSecOps具体转型的思考：

首先，受限于不同公司的性质不一样，对于敏捷开发的需求度也有所不同。就单论互联网而言，金融公司与科技公司对新技术的使用速度就截然不同，这是由行业形势所决定的。

金融公司天然带有在技术上保守与稳定的特性，而科技公司天然带有激进与敏捷的特性。金融公司对科技的根本使用目的是为了金融而服务，因此对于新技术的使用往往保守且谨慎。科技公司是为了科技产品而服务，因此大多数时候科技公司就是产出新技术的主体本身，对于新技术的使用是大胆且突进的。科技公司对于技术的使用往往是先抢占高地，对于新技术的不足例如安全的缺失则等待后续在进行补足。而金融公司的立足点则是稳定和安全，因此对于安全的考量往往要放在前列，对于新技术的使用则要等待其相关的安全配套业内能够形成统一共识的时候才会采用。DevSecOps就是如此。

以DevOps为例，互联网公司早在2012年左右提出时，就对其开始了调研与布置，将开发模式从SDL逐步迁移为DevOps，进一步摆脱传统开发模式的束缚，大大加快了开发与上线的时间。而金融公司往往滞后一些，在一项技术成熟时才会将其进行应用，其中有技术框架较老的原因，但更多的还是技术文化或者说技术需求的不同。

DevSecOps的构建首先要基于自动化的安全测试工具，安全环节不能成为DevOps的瓶颈，否则Security就没有任何意义。自动化的安全测试工具可以进一步解放安全团队的工作量，不必在进行手工测试，从农耕时代进入到工业时代，同时，也应当将安全工具嵌入到流水线的每一个环节当中。

接下来要构建DevSecOps的文化与模型，不能只有安全团队才有安全意识，开发团队也应当具有基本的安全意识，虽然安全需求往往会给单纯的开发需求造成更多的麻烦，但这是必不可少的。现有的许多安全漏洞都是基于开发人员的安全意识缺失造成的，剩下的还有框架本身的漏洞与安全运营人员的疏忽。因此可见，如果将安全进行左移，将部分安全责任交给研发团队进行承担，使研发团队具有基本的安全意识，那么最终整个系统的安全性能将会得到较大的提升。

今天先写这么多,后面的以后再慢慢写