DevSecOps 发展历史概述

目录

一、发展概述

1.1概述说明

二、DevSecOps 发展关键里程碑

2.1 2012年Gartner首次提出DevSecOps概念

2.2 2016年Gartner发布DevSecOps议题报告

2.3 2017年美国RSAC大会开辟DevSecOps专题

2.4 2018年美国RSAC大会提出黄金管道概念

2.5 2019年Gartner 发布了DevSecOps模型安全工具链

2.6 至今,DevSecOps在全球范围内正式进人大范围实践和落地阶段

三、影响DevSecOps 发展的关键因素分析

3.1 从安全体系/模型看

3.1.1 微软SDL模型助力DevSecOps发展

3.1.2 DevSecOps 相关模型助推DevSecOps发展落地

3.2 从产业发展看

3.2.1 从IT产业发展到全面互联网化的两条道路

3.2.1.1 从城市走向农村

3.2.1.2 从农村走向城市

3.2.2 两条互联网发展道路的交叉点,催生出企业管理者对DevSecOps的诉求

3.3 从技术发展看

3.3.1 研发能力成熟度

3.3.2 研发管道的成熟

3.3.3 自动化运维技术的发展

3.3.4 总结

四、DevSecOps 未来的发展趋势分析

4.1 国家政策对DevSecOps发展趋势的影响

4.1.1 国外政策环境对DevSecOps的影响

4.1.2 国内政策环境对DevSecOps的影响

4.1.3 总结

4.2 技术革新对DevSecOps发展趋势的影响

4.2.1 产业升级带动技术形态变化,DevSecOps受到企业青睐

4.2.2 互联网向传统行业渗透,新技术的应用为DevSecOps提供了广阔的发展空间

4.2.3 自动化运维工具的成熟,为DevSecOps的落地提供了良好的土壤

4.2.4 总结

4.3 市场环境对DevSecOps发展趋势的影响

4.3.1 以前客户对DevSecOps的错误认知,导致DevSecOps的市场份额很小

4.3.2 客户对DevSecOps的新认知,为DevSecOps的发展,提供了业务创新的源头

4.3.3 企业对DevSecOps的需求强烈,促进DevSecOps的发展

4.3.4 DevSecOps人才紧缺,促进DevSecOps培训市场的发展

4.3.5 总结


一、发展概述

1.1概述说明

DevSecOps 概念在业界的提出已经有些年头,但一直不温不火,直到近些年云原生技术和自动化运维技术的发展,才使得DevSecOps变得火热起来。下面我们一起来看看DevSecOps的发展历程。

二、DevSecOps 发展关键里程碑

2.1 2012年Gartner首次提出DevSecOps概念

DevSecOps最早是Gartner在2012年提出来的概念,当时被称为DevOpsSec,其官网上至今仍保留着当时的议题记录,该页面截图如图下图所示:

在这次议题分享中,演讲嘉宾第一次旗帜鲜明地呼吁:安全在DevOps流程中的重要性,作为整个流程中不可或缺的一部分,安全应该融入敏捷开发的流程中去。在Gartner提出此概念3年之后,2015年6月香农利茨(Shannon Lietz)在DevSecOps官网发表文章“What is DevSecOps”,公开阐述 DevSecOps的基本概念。在文中,他提及:

随着 DevOps、敏捷和公有云服务业务需求的增加,传统安全流程已经制约安全缺陷的消除。大多数安全策略经常被业务领导者否决,并且在发生事件或违规行为时受到质疑。DevSecOps作为一种新型的安全治理模式,有助于加强安全、业务之间的变革与合作。将安全性添加到所有业务流程中,创建一个专门的DevSecOps团队来建立对业务的理解,建设和运营缺陷工具,以持续测试及预测,避免因安全问题给系统带来严重损害。

2.2 2016年Gartner发布DevSecOps议题报告

2016年9月,Gartner发布的“DevSecOps: How to Seamlessly Integrate Security Into DevOps议题报告,对 DevSecOps模型做了更深层次的分析和落地实践指导。在报告中,Gartner解释了为什么名称拼写由DevOpsSec调整为DevSecOps,提出了安全控制代码化自动化、安全运营工具化、贯穿整个生命周期的安全底线管控等理念,并对部分安全工具的选择给出了指导意见。在这份议题报告中,Gartner描述DevSecOps模型图第一次形成。如下图所示:

2.3 2017年美国RSAC大会开辟DevSecOps专题

2017年,美国RSAC大会首次开辟了DevSecOps专题,并设置了前置研讨会。这次大会上,明确安全融入现有研发流程、安全需求导人至统一需求管理、安全测试工作与持续集成/部署平台打通等DevSecOps核心实践内容,提出安全左移前置的思想。为DevSecOps的进一步发展奠定了基础,同时也完成了理论到实践的蜕变。

2.4 2018年美国RSAC大会提出黄金管道概念

20I8年,美国RSAC大会上,参会者提出了“Golden Pipeline”(即黄金管道)的概念,通过一套持续稳定的自动化管道,使得安全进入应用开发的CI/CD软件流水线体系,加快DevSecOps的快速落地。会上,对DevSecOps中的关键安全活动进行了明确,如应用安全测试SAST、第三方组件成分安全分析SCA、运行时应用自我保护RASP等。

2.5 2019年Gartner 发布了DevSecOps模型安全工具链

2019年,Gartner 发布了DevSecOps模型安全工具链,将DevSecOps落地推进到实践运营阶段。同年,在美国RSAC大会上的 DevSecOps 专题中,与会专家聚焦 DevSecOps 文化融合与实践效果度量,提出了9个DevSecOps关键实践点和7个DevSecOps 文化融合阶段,以帮助企业正确评估安全开发能力和DevSecOps发展状态,为后续持续改进夯实了基础。

2.6 至今,DevSecOps在全球范围内正式进人大范围实践和落地阶段

至此,DevSecOps在全球范围内正式进人大范围实践和落地阶段。

在实践方面,美国国防部积极推动DevSecOps的落地,发布了一系列的DoD企业DevSecOps实施指南和规范,并深人开展实践。全球知名互联网公网也纷纷参与DevSecOps实践,如谷歌、微软、小米、腾讯等,将 DevSecOps 的发展推向高潮。

在技术规范方面,美国国家标准与技术研究院(NIST)于2020年正式创建了DevSecOps工作组,编制 DevSecOps 技术规范,指导各企业开展 DevSecOps 实践,如下图所示:

三、影响DevSecOps 发展的关键因素分析

从2012年DevSecOps 概念的提出,到2022年 DevSecOps 在全球范围内开始广泛实践,整整经历了十年时间。这其中,诸多因素影响着DevSecOps的发展,主要有以下三个方面。

3.1 从安全体系/模型看

3.1.1 微软SDL模型助力DevSecOps发展

在业界普遍的认知里是把 DevSecOps放在应用安全的范畴。在应用安全领域,最早的企业是微软,它推出了业界广为人知的SDL模型,可以说,在应用安全方向乃至整个网络安全领域、微软是为业界做出杰出贡献的企业。在很长一段时间内,软件工程的开发模型是瀑布模型为主,当SDL在国内企业真正落地的时候,通常会碰到很多问题。例如,整个体系太复杂、笨重;威胁建模很少有企业真正做起来。所以当敏捷开发模型发展起来之后,微软又发布了SDL的敏捷版本,以适应开发模式由瀑布模型向敏捷的转变。

3.1.2 DevSecOps 相关模型助推DevSecOps发展落地

在微软推出SDL敏捷模型后,开发模式由瀑布模型向敏捷的转变,在这个过程中,对于软件安全也出现了一些其他模型,如Open SAMM、BISMM,这两个模型可以用于指导应用安全的开展,但它们更偏重于评估软件安全的成熟度。从上述这些模型的出现和模型的适应范围,我们可以明白安全模型的使用是与研发模型相关的,所以Open SAMM、BISMM模型助推DevOps、DevSecOps 的发展的同时,当DevOps发展起来后、与之相适应的DevSecOps 模型也随之发展起来就比较好理解了。

3.2 从产业发展看

3.2.1 从IT产业发展到全面互联网化的两条道路

整个IT产业的发展也就是最近60年的事情,从IT产业一开始的发展到今天的全面互联网化,走的是两条路。如果把互联网比作城市,传统行业比作农村,一条路是从城市走向农村,另一条路是从农村走向城市。

3.2.1.1 从城市走向农村

从城市走向农村,是指互联网行业向传统行业渗透的过程,是主动的。例如,互联网早期的产品主要是邮箱、BBS、搜索引擎、新闻网站等,这种形态下的产品研发参与人员主要是互联网技术公司。到电商行业做到全国皆知时,其产品研发人员主要集中在电商行业。到后来的金融、保险、打车、外卖等行业,这段时期,国内的互联网一直在高速增长,在慢慢进人传统行业的地盘。在快速增长、行业渗透的背景下,出现了第二条路,从农村走向城市。

3.2.1.2 从农村走向城市

从农村走向城市是指传统行业的互联网化,这条路被动且增长很慢。当社会“互联网+”时期之后,从农村走向城市这条路开始发力,并高速增长。在我们身边,越不越多的传统企业在互联网化,从最开始的家电行业,到现在很多关乎民生的行业,如教育、医疗、汽车等。这些传统企业在业务演进过程中,纷纷建立了自己的软件研发中心,开始变得跟互联网企业一样。

3.2.2 两条互联网发展道路的交叉点,催生出企业管理者对DevSecOps的诉求

当这两条路走到交叉点时,是生产模式的拐点,整个互联网增速变缓,所有的人都开始向内部要增量,这时候提出的DevSecOps理念更契合企业管理者的诉求,依托 DevSecOps的发展,同时解决既要安全又要增量的问题。

3.3 从技术发展看

在技术发展上,现在的互联网人并不比以前的人更聪明,现在能想到的东西,在很早之前就已经有人想到了,只是那个时候在技术上不适合做DevSecOps。技术发展到了今天,再提出 DevSecOps 则更容易落地。

3.3.1 研发能力成熟度

首先是研发能力成熟度。从瀑布模--->敏捷开发--->DevOps的发展路径,是业务发展不断改进、不断优化选择的结果。如果是在瀑布模型的开发模式下提倡DevOps的一套理念,则很难落地。而如今企业研发能力的成熟度越来越高,更适合在当下落地DevSecOps。

3.3.2 研发管道的成熟

其次是研发管道的成熟。早期从事软件开发时,使用的代码管理软件仅仅是SVN+Harvest,很多流程化的管理是依赖人去操作的;后来慢慢变成了Git+Hudson,这时候已经有了自动化构建、自动化部署的雏形,现在使用Git+GiLab+Jekins,周边生态的成熟使得整个开发、构建的 CI/CD流程打通了,这是DevSecOps 得以发展的重要一点。

3.3.3 自动化运维技术的发展

最后是自动化运维技术的发展,尤其是虚拟化和容器化等运维技术成熟。例如,OpenStack、Docker、K8s这些基础设施虚拟化、容器化及编排软件的产生,使得自动化运维的门槛变得更低,进一步利于 DevSecOps 的落地。

3.3.4 总结

正是这三方面的原因在过去很长一段时间内,影响和制约着DevSecOps的发展。现在对于大型企业来说,通过研发管道和云基础设施,可以顺利完成DevSecOps的落地;对于小公司来说,依赖于公有云(如AWS、Azure、阿里云),通过平台能力和公开API,也可以快速地完成 DevSecOps 的落地。

四、DevSecOps 未来的发展趋势分析

分析完了影响 DevSecOps 发展的关键因素,下面再来看看 DevSecOps 未来的发展趋势。

4.1 国家政策对DevSecOps发展趋势的影响

4.1.1 国外政策环境对DevSecOps的影响

在前文中,我们提及在DevSecOps发展过程中,美国的咨询公司Gartner、国防部,以及国家标准与技术研究院(NIST)都对DevSecOps的发展起到了很好的促进作用。

4.1.2 国内政策环境对DevSecOps的影响

在国内,DevSecOps的发展主要以实践为主,相关政策、技术标准仍未出台,还有很大的发展空间。随着《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的落地实施,要深入解决数据安全问题、个人信息保护问题,必须深入研发过程,开展全生命周期的安全治理,DevSecOps作为当前首选的研发安全治理模型,必将在其中发挥着关键作用。

4.1.3 总结

从过去几年国家政策对网络安全的重视程度来看,随着工业互联网信息安全标准、安全运营技术标准、安全服务技术标准的颁布,研发安全的技术标准也将逐步出台,以帮助企业规范、全面地开展研发安全活动,提升研发安全水平。

4.2 技术革新对DevSecOps发展趋势的影响

4.2.1 产业升级带动技术形态变化,DevSecOps受到企业青睐

环境改变下的产业升级倒逼业务模式升级,业务模式的升级带动技术形态的变化。在人工成本越来越高、人工智能越来越普及的大趋势下,提倡安全工具化、安全自动化的DevSecOps 安全治理模型将会越来越受到企业管理者的青睐。

4.2.2 互联网向传统行业渗透,新技术的应用为DevSecOps提供了广阔的发展空间

产业的发展,互联网向传统行业渗透,出现了个人平板计算机、移动办公设备、智能终端、移动APP、H5应用、小程序等。新技术的应用为DevSecOps在产品安全方面的应用带来巨大挑战的同时,也提供了广阔的空间。只有从生产的源头解决产品安全的问题,才能更好地解决运营与运维的安全问题。

4.2.3 自动化运维工具的成熟,为DevSecOps的落地提供了良好的土壤

研发管道化软件、自动化运维工具的成熟,安全工具集成的易用性提升,以及人工智能辅助水平的提高,更为DevSecOps的落地提供了良好的土壤。

4.2.4 总结

在未来,技术的发展将会带动DevSecOps的发展,使得当前的DevSecOps体系更加丰满,适应性更强,覆盖面更广。

4.3 市场环境对DevSecOps发展趋势的影响

4.3.1 以前客户对DevSecOps的错误认知,导致DevSecOps的市场份额很小

在网络安全市场上,DevSecOps市场占有的份额很小。这除了与DevSecOps 发展时间短有关之外,还有一个很大的因素是客户对DevSecOps的认知。

4.3.2 客户对DevSecOps的新认知,为DevSecOps的发展,提供了业务创新的源头

在过去几年里,安全从业人员能明显地感受到客户群体对DevSecOps态度的变化,从开始的不理解、不关注,到现在的主动学习和强势引人,将研发安全纳人合同交付的一部分,这为DevSecOps的发展,提供了业务创新的源头。

4.3.3 企业对DevSecOps的需求强烈,促进DevSecOps的发展

在DevSecOps市场上,一部分是从事DevSecOps平台开发和技术服务的人员,一部分是甲方公司实施DevSecOps体系落地的人员。他们对DevSecOps的需求都很强烈,不同的是当前阶段乙方公司提供的DevSecOps平台和技术服务难以满足甲方公司管理的诉求,因此很多甲方公司都在依托云服务能力,自己构建DevSecOps平台和技术落地。

4.3.4 DevSecOps人才紧缺,促进DevSecOps培训市场的发展

在公司内部,熟悉DevSecOps的人才也尤其紧缺,DevSecOps培训和技术训练成为一项市场急需的技术服务。国内DevSecOps培训市场才刚刚起步,需要更多的政策引导和有安全担当的公司参与进去,促进行业的发展。

4.3.5 总结

随着客户群体对DevSecOps安全治理模型的认知不断提高,促使企业对安全的需求量不断上升,而就整个DevSecOps市场而言,其实目前占据的市场份额还很小,成长空间很大;而由于国内企业,熟悉DevSecOps的人才也尤其紧缺,也促使了DevSecOps培训和技术训练相关市场的发展。

好了,本次内容就分享到这,欢迎大家关注《DevSecOps》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/349548.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

如何在Excel中隐藏部分数字或文本?这里提供几个方法

假设你有一张关于员工的一般信息表,但有些是私人的,比如社会安全号码。现在你想隐藏这些社会安全号码的一部分,如下截图所示,你如何快速解决它? 使用单元格格式部分隐藏 若要在Excel中隐藏部分社会保障号码&#xff…

Linux本地部署SVN服务结合内网穿透实现远程访问

文章目录 前言1. Ubuntu安装SVN服务2. 修改配置文件2.1 修改svnserve.conf文件2.2 修改passwd文件2.3 修改authz文件 3. 启动svn服务4. 内网穿透4.1 安装cpolar内网穿透4.2 创建隧道映射本地端口 5. 测试公网访问6. 配置固定公网TCP端口地址6.1 保留一个固定的公网TCP端口地址6…

ORM-05-javalite activejdbc 入门介绍

拓展阅读 The jdbc pool for java.(java 手写 jdbc 数据库连接池实现) The simple mybatis.(手写简易版 mybatis) ActiveJDBC ActiveJDBC 可以直接通过读取表的信息,来处理数据库相关操作。 优点 java model 中不需要任何的属性&#xff0…

绿原酸市场调研:预计2029年将达到1.8亿美元

绿原酸是一种有机化合物,化学式为C16H18O9,是金银花的主要抗菌、抗病毒有效药理成分之一。绿原酸具有较广泛的抗菌作用,但在体内能被蛋白质灭活。与咖啡酸相似,口服或腹腔注射时,可提高大鼠的中枢兴奋性。可增加大鼠及…

JavaScript柯里化与部分应用

🧑‍🎓 个人主页:《爱蹦跶的大A阿》 🔥当前正在更新专栏:《VUE》 、《JavaScript保姆级教程》、《krpano》、《krpano中文文档》 ​ 目录 ✨ 前言 ✨ 正文 一、函数柯里化(Currying) 什么是柯里化 柯里化实现…

python爬各平台评论并数据分析——数据采集、评论情绪分析、新闻热度

一、爬取数据 小问题汇总 1.python之matplotlib使用系统字体 用于解决python绘图中,中文字体显示问题 2.cookie与视频页面id(b站、微博等)查看 F12打开网页开发者模式,然后F5刷新,进入控制台中的网络,…

为何外贸公司应该采用CRM客户管理软件?

在外贸行业中,客户关系管理尤为关键。在当下的大数据背景下,所有规模的外贸公司都迫切地需要进行数字化改造。无论是大型公司还是小型业务,他们都希望通过深入分析客户数据,为用户提供更优的体验,并据此调整企业战略。…

自动化批量导入机器到Jumpserver:提高效率与一致性的关键步骤

Ansible批量主机机器到Jumpserver 1、背景 在现代 IT 环境中,随着机器数量的增加和复杂性的提高,手动管理和配置机器变得越来越困难和耗时。为了提高效率并确保一致性,自动化工具成为了不可或缺的一部分。Jumpserver 是一个功能强大的堡垒机…

Linux之系统安全与应用

Linux系统提供了多种机制来确保用户账号的正当,安全使用。 系统安全措施 一. 清理系统账号 1.1 将用户设置为无法登录 Linux系统中除手动创建的各种账号外,还包括随系统或程序安装过程而生成的其他大量账号。除了超级用户root以外,其他的…

企业能源消耗监测管理系统是否可以做好能源计量与能耗分析?

能源消耗与分析是能源科学管理的基础,也可促进能源管理工作的改善,在企业中能源管理系统的作用也愈加重要。 首先,能源计量是能源管理的基础,通过能源精准计老化,容易出现测量设备不准确以及其他一些人为因素原因导致…

NC65中间件能启动,前端客户端启动失败,加载异常,卡住(org.owasp.esapi)

控制台输出错误 ESAPI.properties could not be loaded by any means. Fail.SecurityConfiguration class(org.owasp.esapi.reference.DefaultSecurityConfiguration) CTOR threw exception.效果图: 解决方案 添加如下参数: -Dorg.owasp.esapi.resou…

金融帝国实验室(Capitalism Lab)V10版本推出新招高管待命选项

金融帝国实验室(Capitalism Lab)V10版本推出新招高管待命选项 ————————————— 【全新V10版本开发播报】 即将发布的V10版本,在“分配管理器”菜单上将引入一个名为“暂时待命”的新功能。启用此选项后,分配给公司的高…

docker 网络及如何资源(CPU/内存/磁盘)控制

安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host docker网络模式 Host 容器与宿主机共享网络namespace,即容器和宿主机使用同一个IP、端口范围(容器与宿主机或其他使…

Vulnhub靶场DC-6

攻击机192.168.223.128 靶机192.168.223.134 主机发现:nmap -sP 192.168.223.0/24 端口扫描 nmap -sV -p- -A 192.168.223.134 开启了22 80端口,80是apache 2.4.25 先进入web界面看一下 用ip进不去,应该被重定向到wordy.com vim /etc/hosts 加上 19…

【医学图像隐私保护】联邦学习:密码学 + 机器学习 + 分布式 实现隐私计算,破解医学界数据孤岛的长期难题

联邦学习:密码学 机器学习 分布式 提出背景:数据不出本地,又能合力干大事联邦学习的问题 分布式机器学习:解决大数据量处理的问题横向联邦学习:解决跨多个数据源学习的问题纵向联邦学习:解决数据分散在多…

某马头条——day11+day12

实时计算和定时计算 流式计算 kafkaStream 入门案例 导入依赖 <dependency><groupId>org.apache.kafka</groupId><artifactId>kafka-streams</artifactId><exclusions><exclusion><artifactId>connect-json</artifactId&…

NOIP2003提高组T1:神经网络

题目链接 [NOIP2003 提高组] 神经网络 题目背景 人工神经网络&#xff08;Artificial Neural Network&#xff09;是一种新兴的具有自我学习能力的计算系统&#xff0c;在模式识别、函数逼近及贷款风险评估等诸多领域有广泛的应用。对神经网络的研究一直是当今的热门方向&am…

MSB30M-ASEMI小功率开关电源MSB30M

编辑&#xff1a;ll MSB30M-ASEMI小功率开关电源MSB30M 型号&#xff1a;MSB30M 品牌&#xff1a;ASEMI 正向电流&#xff08;Id&#xff09;&#xff1a;3A 反向耐压&#xff08;VRRM&#xff09;&#xff1a;1000V 正向浪涌电流&#xff1a;50A 正向电压&#xff08;…

电影《花千骨》成开年第一烂,新派系当家IP滑铁卢

2024电影市场“开年第一烂”落到了《花千骨》头上。 在整个行业都在为春节档蓄势的情况下&#xff0c;电影市场显得有些沉寂&#xff0c;票房表现也不太出彩&#xff0c;其中最大的输家莫过于新派系文化出品的电影版《花千骨》。 从1月20日上映至今&#xff0c;5天累计票房仅…

带头 + 双向 + 循环链表增删查改实现

目录 源码&#xff1a; List.c文件&#xff1a; List.h文件&#xff1a; 简单的测试&#xff1a; 很简单&#xff0c;没什么好说的&#xff0c;直接上源码。 源码&#xff1a; List.c文件&#xff1a; #include"DLList.h"ListNode* creadNode(LTDataType x) {L…