DevSecOps与软件供应链安全发展的思考

当前，我国正处在以数字化、网络化的科技变革浪潮中，新一代信息技术与其他产业不断加速融合，因而推动新生态、新技术、新业务不断涌现。

软件开发方和软件使用方对软件服务的质量和上线速度要求越来越高，传统研发效率难以满足新型研发的要求，企业的开发运维模式逐渐向开发运维一体化转型。DevOps与软件供应链的理念正被广泛认可并加速落地实践。

本文将从DevSecOps与软件供应链安全的定义及特点入手，梳理开发运维一体化模式的软件安全现状，结合目前网络安全热点话题对两者的发展趋势进行了分析及展望。

从DevOps到DevSecOps的内置安全防护

DevOps的概念2008在多伦多敏捷会议上首次被提出，它强调高效组织团队之间如何通过自动化的工具协作和沟通来完成软件的生命周期管理，从而更快更稳定的交付软件。

DevOps快速迭代和发展的过程中，安全问题经常被忽视，为了更好地优化整个流程，将安全细节融入开发运维的各个阶段，DevSecOps模式成为主流。

DevSecOps的核心理念，安全是整个IT团队每个人的责任，需要贯穿从开发到运营整个业务生命周期的每一个环节才能提供有效保障。

DevSecOps依赖于DevOps流程工具链，将威胁建模工具、安全编码工具、安全测试工具、容器安全检测工具、基线