12月29—12月30日，CIS 2020網(wǎng)絡安全創(chuàng)新大會在上海成功舉辦，本次大會由FreeBuf、賽博研究院、上海市信息安全行業(yè)協(xié)會聯(lián)合主辦。懸鏡安全聯(lián)合Freebuf咨詢在大會“DevSecOps實踐與技術專場”榮耀發(fā)布《2020 DevSecOps行業(yè)洞察報告》。

[[373475]]

Freebuf咨詢負責人尤文、懸鏡安全創(chuàng)始人兼CEO子芽、懸鏡安全COO董毅出席了報告發(fā)布儀式。

[[373476]]
尤文、子芽、董毅

會上，懸鏡安全COO董毅對該報告進行了深度解讀。今年的RSA Conference于2月24-28日在美國舊金山如期召開， 會議主題為“Human Element”，人為因素被認為是影響未來網(wǎng)絡安全發(fā)展最深遠的主題。會議期間，官方還基于參會人員的關注熱度，發(fā)布了 2020 年網(wǎng)絡安全行業(yè)十大趨勢，DevSecOps 再次成為大家關注的焦點之一。其中，有著“全球網(wǎng)絡安全風向標”之稱的 RSA 創(chuàng)新沙盒，進入十強的安全廠商中近半數(shù)聚焦在應用安全領域，BluBracket 和 ForAllSecure 等就是今年 DevSecOps 領域的創(chuàng)新廠商代表，Comcast、US DoD 及 NIWC 等機構的 DevSecOps 落地應用也逐漸成為行業(yè)實踐典范。

[[373477]]

雖然國內的金融、能源、互聯(lián)網(wǎng)等產(chǎn)業(yè)用戶沒有像美國一些頭部機構那樣做 DevSecOps 的深度轉型，大部分還是現(xiàn)有的 SDL 體系，但這并不妨礙我們開始積極擁抱 DevSecOps 框架及 CI/CD黃金管道涉及的敏捷安全活動。正是這些關鍵活動涉及的新興技術的逐漸成熟和敏捷安全新理念的普及，推動了國內 DevSecOps 體系的逐漸落地，關鍵標志之一就是持續(xù)專注 DevSecOps 的創(chuàng)新安全廠商開始涌現(xiàn)，我們的通用技術方案開始被越來越多的行業(yè)頭部用戶采納，并分階段持續(xù)為行業(yè)用戶建立起逐漸完善的安全開發(fā)運營體系。懸鏡安全聯(lián)合 Freebuf 咨詢在國內發(fā)布首個 DevSecOps 行業(yè)洞察報告，希望從行業(yè)用戶、廠商力量及安全媒體等綜合視角觀察并分析 DevSecOps 在國內的發(fā)展現(xiàn)狀。

報告上篇對DevSecOps 實踐情況進行了一定調查，通過問卷調查、資料收集、交流訪談及技術沙龍等形式開展相關調查工作，對千余名不同 IT 背景的專業(yè)人員進行了調研，通過他們的聲音和真實反饋，表明了 DevSecOps 正逐漸被應用開發(fā)團隊認可并加速實踐，部分領先機構的應用安全工作在軟件開發(fā)生命周期的早期就已經(jīng)實現(xiàn)高度自動化。 

報告下篇描繪了不同行業(yè)的 DevSecOps 實踐現(xiàn)狀，梳理了當前發(fā)展熱點技術，并對未來發(fā)展趨勢做了展望。這部分內容主要依賴于同行業(yè)專家的溝通與座談，并融合了我們在行業(yè)中觀察到的具體現(xiàn)象、發(fā)展趨勢和應用案例。擁抱變化是敏捷安全建設的基石。我們希望通過本報告的調查及分析，能夠推動更多行業(yè)用戶結合自身業(yè)務特點，嘗試了解、對比學習甚至著手采納業(yè)內領先的 DevSecOps 敏捷安全體系及落地實踐經(jīng)驗，從源頭追蹤軟件供應鏈在開發(fā)、測試、部署、運營等關鍵環(huán)節(jié)面臨的應用安全風險與未知外部威脅，幫助政企組織逐步構筑一套適應自身業(yè)務彈性發(fā)展、面向敏捷業(yè)務交付并引領未來架構演進的內生安全開發(fā)運營體系。同時，也希望本報告能夠鼓勵更多不同類型的技術力量與 DevSecOps 行業(yè)展開新的對話，并成為建立新的安全基準的參考依據(jù)。

掃碼獲取報告全文