DevSecOps 实践可保持开发人员的速度

通过将安全文化引入 DevOps 环境，DevSecOps 旨在尽早且一致地解决安全风险。根据SANS 2023 DevSecOps 调查，DevSecOps 是所有专注于软件开发的组织中的关键业务实践和风险管理问题。

DevSecOps 的重要性也可以从 Synopsys 的《 2023 年全球 DevSecOps 状况》报告中看出，其中 1,000 名 IT 专业人员中超过 90% 的人指出，他们将某种程度的 DevSecOps 活动纳入了他们的软件开发流程中。

但即使 DevSecOps 得到广泛采用，当将手动应用程序安全测试引入软件开发生命周期 (SDLC) 时，安全和开发团队仍然经常发现自己存在分歧。常见的抱怨包括应用程序安全测试 (AST) 工具的复杂性和高学习曲线、性能缓慢以及导致摩擦的“嘈杂”结果，即开发人员看到的任何阻碍他们快速构建代码的东西。

自动化测试提高开发人员效率

自动化是 DevOps 流程的重要组成部分，因为它支持持续集成和持续部署，以提高软件交付的速度、效率和可靠性。同样，DevSecOps 成功的关键是实现自动化，将安全性嵌入到开发生命周期中。在 CI/CD 管道中，自动化测试对于快速验证更改并防止错误代码进入生产环境至关重要。自动化测试还确保安全检查一致地应用于每个构建和部署。

同样重要的是，如果做得正确，自动化测试可以通过促进更安全的软件以及更高效的开发流程来改善开发人员的体验。事实上，在《2023 年全球 DevSecOps 状况》报告中接受调查的 IT 专业人员中，超过 70% 的人认为自动扫描代码中的漏洞或编码缺陷是一种有用的安全措施，其中 34% 的人称自动化 AST“非常有用”。

正确的工具组合可简化开发人员的工作量

正确完成的安全测试是什么样的？理想情况下，它涉及使用各种工具的多层方法：静态分析来识别编码缺陷，动态测试来检查正在运行的应用程序，以及软件组成分析来识别开源和其他第三方组件引入的漏洞。

例如，想要尽早识别和分类安全缺陷的开发人员需要一种能够直接在集成开发环境 (IDE) 中实时解决安全缺陷的解决方案，并且结合静态应用程序安全性和软件构成分析。为了实时分析基于 Web 的应用程序中的安全漏洞，DevSecOps 团队需要一个动态解决方案来持续监控安全问题并提供反馈。

但是，如果组织没有资源或预算来管理其开发、构建和测试环境中的本地实施，该怎么办呢？一种策略是实施基于云的安全测试解决方案，该解决方案提供保护专有代码和第三方软件所需的覆盖范围，而不会带来本地 AST 带来的复杂性。这种方法可以降低安全测试成本，因为它不需要部署硬件或更新软件。它具有企业级可扩展性，可以支持数千个应用程序的安全，因为团队规模或扫描频率没有限制。

DevSecOps 减少开发摩擦

尽管他们的关系有时看起来有问题，但开发和安全团队正在朝着同一个目标努力：推动业务增长。通过采取 DevSecOps 立场并为团队配备正确的自动化 AST 工具，组织可以减少开发摩擦并保持速度，同时确保覆盖代码质量和安全基准。