今天分享的是：王忭思：申万宏源DevSecOps探索实践

报告共计：20页

DevSecOps相关内容总结

在当今数字化时代，软件交付面临着效率与安全的双重挑战。传统仅在软件交付生命周期末尾进行安全扫描的方式，严重阻碍高效开发，且开源软件及第三方构件的广泛使用，使软件漏洞风险大增。数据显示，超80%软件漏洞源于此，数字供应链攻击形势也日益严峻，预计到2025年45%组织将至少经历一次，2026年全球软件供应链网络攻击造成的企业总成本将超806亿美元。在此背景下，DevSecOps应运而生。

DevSecOps是开发、安全和运营的融合，核心是在软件开发生命周期全过程集成安全实践。它强调跨部门协作沟通，将安全“左移”，使其从开发起始就融入其中，而非后期添加。通过构建协作文化，让安全成为各职能团队共同责任，开展内部安全培训，开发人员采用安全编码，安全工程师参与早期架构设计审查等，打破部门壁垒。

实现“安全左移”需在开发流程中集成多种安全扫描工具。如静态应用程序安全检测工具、开源组件检测工具、动态应用程序安全检测工具等，它们技术互补，能在软件进入生产环境前有效发现安全问题。

从DevSecOps不同用法看，其价值体现在多方面。技术层面，要让现有安全解决方案适配DevOps新技术栈，如容器安全领域，传统端点安全产品需调整才能用于容器环境，同时催生了专注容器安全的新企业。方法论层面，DevOps的持续交付、微服务等方法改变了开发节奏与应用架构，要求安全测试自动化、适应频繁构建，微服务安全监控就需全新解决方案。文化理念层面，DevSecOps将安全嵌入开发和操作常规流程，因安全团队人力有限，需开发团队承担日常安全活动，安全团队则负责赋能和自动化管理。

企业落地DevSecOps，要从多方面建设研发安全运营一体化能力体系。控制通用风险，包括安全组织建设、打造安全工具链、强化基础设施及第三方管理、规范数据管理并建立度量反馈机制。控制开发过程风险，从应用需求阶段就实施安全风险管理，关注架构设计安全，引入安全编码规范。控制交付过程风险，将配置、构建、测试、部署发布等交付环节纳入安全管理。控制运营过程风险，通过安全监控、运营、响应等手段实现运营安全风险闭环管理，并利用运营反馈持续优化。

如今，DevSecOps发展呈多元化趋势。企业愈发重视提升自动化程度，借助AI和大模型与自动化技术融合，提高安全团队效率。安全工具持续整合进工具链，多数组织已将工具链可观测性和监控纳入一体化平台。基础设施即代码在DevSecOps中的应用逐步深入，可确保基础设施配置符合安全合规要求。企业还通过软件物料清单（SBOM）等方式降低风险。此外，中国电信已成功立项业界首个DevSecOps国际标准提案，推动云服务DevSecOps指南制定，提升云服务安全与合规水平 。

如果你对DevSecOps在特定行业的应用案例感兴趣，或者想进一步探讨其实施细节，我可以为你提供更有针对性的内容。

以下为报告节选内容