目录
一、发展概述
1.1概述说明
二、DevSecOps 发展关键里程碑
2.1 2012年Gartner首次提出DevSecOps概念
2.2 2016年Gartner发布DevSecOps议题报告
2.3 2017年美国RSAC大会开辟DevSecOps专题
2.4 2018年美国RSAC大会提出黄金管道概念
2.5 2019年Gartner 发布了DevSecOps模型安全工具链
2.6 至今,DevSecOps在全球范围内正式进人大范围实践和落地阶段
三、影响DevSecOps 发展的关键因素分析
3.1 从安全体系/模型看
3.1.1 微软SDL模型助力DevSecOps发展
3.1.2 DevSecOps 相关模型助推DevSecOps发展落地
3.2 从产业发展看
3.2.1 从IT产业发展到全面互联网化的两条道路
3.2.1.1 从城市走向农村
3.2.1.2 从农村走向城市
3.2.2 两条互联网发展道路的交叉点,催生出企业管理者对DevSecOps的诉求
3.3 从技术发展看
3.3.1 研发能力成熟度
3.3.2 研发管道的成熟
3.3.3 自动化运维技术的发展
3.3.4 总结
四、DevSecOps 未来的发展趋势分析
4.1 国家政策对DevSecOps发展趋势的影响
4.1.1 国外政策环境对DevSecOps的影响
4.1.2 国内政策环境对DevSecOps的影响
4.1.3 总结
4.2 技术革新对DevSecOps发展趋势的影响
4.2.1 产业升级带动技术形态变化,DevSecOps受到企业青睐
4.2.2 互联网向传统行业渗透,新技术的应用为DevSecOps提供了广阔的发展空间
4.2.3 自动化运维工具的成熟,为DevSecOps的落地提供了良好的土壤
4.2.4 总结
4.3 市场环境对DevSecOps发展趋势的影响
4.3.1 以前客户对DevSecOps的错误认知,导致DevSecOps的市场份额很小
4.3.2 客户对DevSecOps的新认知,为DevSecOps的发展,提供了业务创新的源头
4.3.3 企业对DevSecOps的需求强烈,促进DevSecOps的发展
4.3.4 DevSecOps人才紧缺,促进DevSecOps培训市场的发展
4.3.5 总结
DevSecOps 概念在业界的提出已经有些年头,但一直不温不火,直到近些年云原生技术和自动化运维技术的发展,才使得DevSecOps变得火热起来。下面我们一起来看看DevSecOps的发展历程。
DevSecOps最早是Gartner在2012年提出来的概念,当时被称为DevOpsSec,其官网上至今仍保留着当时的议题记录,该页面截图如图下图所示:
在这次议题分享中,演讲嘉宾第一次旗帜鲜明地呼吁:安全在DevOps流程中的重要性,作为整个流程中不可或缺的一部分,安全应该融入敏捷开发的流程中去。在Gartner提出此概念3年之后,2015年6月香农利茨(Shannon Lietz)在DevSecOps官网发表文章“What is DevSecOps”,公开阐述 DevSecOps的基本概念。在文中,他提及:
随着 DevOps、敏捷和公有云服务业务需求的增加,传统安全流程已经制约安全缺陷的消除。大多数安全策略经常被业务领导者否决,并且在发生事件或违规行为时受到质疑。DevSecOps作为一种新型的安全治理模式,有助于加强安全、业务之间的变革与合作。将安全性添加到所有业务流程中,创建一个专门的DevSecOps团队来建立对业务的理解,建设和运营缺陷工具,以持续测试及预测,避免因安全问题给系统带来严重损害。
2016年9月,Gartner发布的“DevSecOps: How to Seamlessly Integrate Security Into DevOps议题报告,对 DevSecOps模型做了更深层次的分析和落地实践指导。在报告中,Gartner解释了为什么名称拼写由DevOpsSec调整为DevSecOps,提出了安全控制代码化自动化、安全运营工具化、贯穿整个生命周期的安全底线管控等理念,并对部分安全工具的选择给出了指导意见。在这份议题报告中,Gartner描述DevSecOps模型图第一次形成。如下图所示:
2017年,美国RSAC大会首次开辟了DevSecOps专题,并设置了前置研讨会。这次大会上,明确安全融入现有研发流程、安全需求导人至统一需求管理、安全测试工作与持续集成/部署平台打通等DevSecOps核心实践内容,提出安全左移前置的思想。为DevSecOps的进一步发展奠定了基础,同时也完成了理论到实践的蜕变。
20I8年,美国RSAC大会上,参会者提出了“Golden Pipeline”(即黄金管道)的概念,通过一套持续稳定的自动化管道,使得安全进入应用开发的CI/CD软件流水线体系,加快DevSecOps的快速落地。会上,对DevSecOps中的关键安全活动进行了明确,如应用安全测试SAST、第三方组件成分安全分析SCA、运行时应用自我保护RASP等。
2019年,Gartner 发布了DevSecOps模型安全工具链,将DevSecOps落地推进到实践运营阶段。同年,在美国RSAC大会上的 DevSecOps 专题中,与会专家聚焦 DevSecOps 文化融合与实践效果度量,提出了9个DevSecOps关键实践点和7个DevSecOps 文化融合阶段,以帮助企业正确评估安全开发能力和DevSecOps发展状态,为后续持续改进夯实了基础。
至此,DevSecOps在全球范围内正式进人大范围实践和落地阶段。
在实践方面,美国国防部积极推动DevSecOps的落地,发布了一系列的DoD企业DevSecOps实施指南和规范,并深人开展实践。全球知名互联网公网也纷纷参与DevSecOps实践,如谷歌、微软、小米、腾讯等,将 DevSecOps 的发展推向高潮。
在技术规范方面,美国国家标准与技术研究院(NIST)于2020年正式创建了DevSecOps工作组,编制 DevSecOps 技术规范,指导各企业开展 DevSecOps 实践,如下图所示:
从2012年DevSecOps 概念的提出,到2022年 DevSecOps 在全球范围内开始广泛实践,整整经历了十年时间。这其中,诸多因素影响着DevSecOps的发展,主要有以下三个方面。
在业界普遍的认知里是把 DevSecOps放在应用安全的范畴。在应用安全领域,最早的企业是微软,它推出了业界广为人知的SDL模型,可以说,在应用安全方向乃至整个网络安全领域、微软是为业界做出杰出贡献的企业。在很长一段时间内,软件工程的开发模型是瀑布模型为主,当SDL在国内企业真正落地的时候,通常会碰到很多问题。例如,整个体系太复杂、笨重;威胁建模很少有企业真正做起来。所以当敏捷开发模型发展起来之后,微软又发布了SDL的敏捷版本,以适应开发模式由瀑布模型向敏捷的转变。
在微软推出SDL敏捷模型后,开发模式由瀑布模型向敏捷的转变,在这个过程中,对于软件安全也出现了一些其他模型,如Open SAMM、BISMM,这两个模型可以用于指导应用安全的开展,但它们更偏重于评估软件安全的成熟度。从上述这些模型的出现和模型的适应范围,我们可以明白安全模型的使用是与研发模型相关的,所以Open SAMM、BISMM模型助推DevOps、DevSecOps 的发展的同时,当DevOps发展起来后、与之相适应的DevSecOps 模型也随之发展起来就比较好理解了。
整个IT产业的发展也就是最近60年的事情,从IT产业一开始的发展到今天的全面互联网化,走的是两条路。如果把互联网比作城市,传统行业比作农村,一条路是从城市走向农村,另一条路是从农村走向城市。
从城市走向农村,是指互联网行业向传统行业渗透的过程,是主动的。例如,互联网早期的产品主要是邮箱、BBS、搜索引擎、新闻网站等,这种形态下的产品研发参与人员主要是互联网技术公司。到电商行业做到全国皆知时,其产品研发人员主要集中在电商行业。到后来的金融、保险、打车、外卖等行业,这段时期,国内的互联网一直在高速增长,在慢慢进人传统行业的地盘。在快速增长、行业渗透的背景下,出现了第二条路,从农村走向城市。
从农村走向城市是指传统行业的互联网化,这条路被动且增长很慢。当社会“互联网+”时期之后,从农村走向城市这条路开始发力,并高速增长。在我们身边,越不越多的传统企业在互联网化,从最开始的家电行业,到现在很多关乎民生的行业,如教育、医疗、汽车等。这些传统企业在业务演进过程中,纷纷建立了自己的软件研发中心,开始变得跟互联网企业一样。
当这两条路走到交叉点时,是生产模式的拐点,整个互联网增速变缓,所有的人都开始向内部要增量,这时候提出的DevSecOps理念更契合企业管理者的诉求,依托 DevSecOps的发展,同时解决既要安全又要增量的问题。
在技术发展上,现在的互联网人并不比以前的人更聪明,现在能想到的东西,在很早之前就已经有人想到了,只是那个时候在技术上不适合做DevSecOps。技术发展到了今天,再提出 DevSecOps 则更容易落地。
首先是研发能力成熟度。从瀑布模--->敏捷开发--->DevOps的发展路径,是业务发展不断改进、不断优化选择的结果。如果是在瀑布模型的开发模式下提倡DevOps的一套理念,则很难落地。而如今企业研发能力的成熟度越来越高,更适合在当下落地DevSecOps。
其次是研发管道的成熟。早期从事软件开发时,使用的代码管理软件仅仅是SVN+Harvest,很多流程化的管理是依赖人去操作的;后来慢慢变成了Git+Hudson,这时候已经有了自动化构建、自动化部署的雏形,现在使用Git+GiLab+Jekins,周边生态的成熟使得整个开发、构建的 CI/CD流程打通了,这是DevSecOps 得以发展的重要一点。
最后是自动化运维技术的发展,尤其是虚拟化和容器化等运维技术成熟。例如,OpenStack、Docker、K8s这些基础设施虚拟化、容器化及编排软件的产生,使得自动化运维的门槛变得更低,进一步利于 DevSecOps 的落地。
正是这三方面的原因在过去很长一段时间内,影响和制约着DevSecOps的发展。现在对于大型企业来说,通过研发管道和云基础设施,可以顺利完成DevSecOps的落地;对于小公司来说,依赖于公有云(如AWS、Azure、阿里云),通过平台能力和公开API,也可以快速地完成 DevSecOps 的落地。
分析完了影响 DevSecOps 发展的关键因素,下面再来看看 DevSecOps 未来的发展趋势。
在前文中,我们提及在DevSecOps发展过程中,美国的咨询公司Gartner、国防部,以及国家标准与技术研究院(NIST)都对DevSecOps的发展起到了很好的促进作用。
在国内,DevSecOps的发展主要以实践为主,相关政策、技术标准仍未出台,还有很大的发展空间。随着《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的落地实施,要深入解决数据安全问题、个人信息保护问题,必须深入研发过程,开展全生命周期的安全治理,DevSecOps作为当前首选的研发安全治理模型,必将在其中发挥着关键作用。
从过去几年国家政策对网络安全的重视程度来看,随着工业互联网信息安全标准、安全运营技术标准、安全服务技术标准的颁布,研发安全的技术标准也将逐步出台,以帮助企业规范、全面地开展研发安全活动,提升研发安全水平。
环境改变下的产业升级倒逼业务模式升级,业务模式的升级带动技术形态的变化。在人工成本越来越高、人工智能越来越普及的大趋势下,提倡安全工具化、安全自动化的DevSecOps 安全治理模型将会越来越受到企业管理者的青睐。
产业的发展,互联网向传统行业渗透,出现了个人平板计算机、移动办公设备、智能终端、移动APP、H5应用、小程序等。新技术的应用为DevSecOps在产品安全方面的应用带来巨大挑战的同时,也提供了广阔的空间。只有从生产的源头解决产品安全的问题,才能更好地解决运营与运维的安全问题。
研发管道化软件、自动化运维工具的成熟,安全工具集成的易用性提升,以及人工智能辅助水平的提高,更为DevSecOps的落地提供了良好的土壤。
在未来,技术的发展将会带动DevSecOps的发展,使得当前的DevSecOps体系更加丰满,适应性更强,覆盖面更广。
在网络安全市场上,DevSecOps市场占有的份额很小。这除了与DevSecOps 发展时间短有关之外,还有一个很大的因素是客户对DevSecOps的认知。
在过去几年里,安全从业人员能明显地感受到客户群体对DevSecOps态度的变化,从开始的不理解、不关注,到现在的主动学习和强势引人,将研发安全纳人合同交付的一部分,这为DevSecOps的发展,提供了业务创新的源头。
在DevSecOps市场上,一部分是从事DevSecOps平台开发和技术服务的人员,一部分是甲方公司实施DevSecOps体系落地的人员。他们对DevSecOps的需求都很强烈,不同的是当前阶段乙方公司提供的DevSecOps平台和技术服务难以满足甲方公司管理的诉求,因此很多甲方公司都在依托云服务能力,自己构建DevSecOps平台和技术落地。
在公司内部,熟悉DevSecOps的人才也尤其紧缺,DevSecOps培训和技术训练成为一项市场急需的技术服务。国内DevSecOps培训市场才刚刚起步,需要更多的政策引导和有安全担当的公司参与进去,促进行业的发展。
随着客户群体对DevSecOps安全治理模型的认知不断提高,促使企业对安全的需求量不断上升,而就整个DevSecOps市场而言,其实目前占据的市场份额还很小,成长空间很大;而由于国内企业,熟悉DevSecOps的人才也尤其紧缺,也促使了DevSecOps培训和技术训练相关市场的发展。
好了,本次内容就分享到这,欢迎大家关注《DevSecOps》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!