以下是五個(gè)提升開發(fā)者DevSecOps體驗(yàn)的技巧，重點(diǎn)是使安全工具更易用，以解鎖更快發(fā)布更安全產(chǎn)品的能力。

譯自5 Tips for Developer-Friendly DevSecOps，作者 Nick Liffen 是 GitHub 的 GitHub 高級安全主管。他認(rèn)為“向左轉(zhuǎn)”并不足夠，但在 GitHub 所做的一切都以開發(fā)者為先是推動可行成功的關(guān)鍵。

DevSecOps 將安全放在軟件開發(fā)生命周期（SDLC）的核心，提供了諸如減少風(fēng)險(xiǎn)、降低補(bǔ)救成本（IBM報(bào)告指出，采用高度 DevSecOps 的組織可節(jié)省多達(dá)168 萬美元）以及更快、更安全的產(chǎn)品發(fā)布等好處。然而，盡管 DevSecOps 的優(yōu)勢很多，開發(fā)者在日常 DevSecOps 實(shí)踐中經(jīng)常面臨來自碎片化工具整合和額外責(zé)任的挑戰(zhàn)，這使得 SDLC 看起來更加復(fù)雜和具有挑戰(zhàn)性。

DevSecOps策略旨在將安全責(zé)任分散到團(tuán)隊(duì)，而不是將其孤立，因此確保安全是開發(fā)者體驗(yàn)的自然組成部分至關(guān)重要，才能充分利用其優(yōu)勢。以下是五個(gè)增強(qiáng)開發(fā)者 DevSecOps 體驗(yàn)的建議，重點(diǎn)是使安全工具更易用，以解鎖更快發(fā)布更安全產(chǎn)品的能力。

1. 將安全性融入現(xiàn)有工作流程中

許多安全工具是為安全專業(yè)人員構(gòu)建的，因此簡單地將它們添加到現(xiàn)有的開發(fā)者工作流程中可能會產(chǎn)生摩擦。當(dāng)希望將新工具集成到 SDLC 時(shí)，考慮從安全工具中提取所需數(shù)據(jù)，并將其原生集成到開發(fā)者的工作流程中—— 或者更好的是，尋找已經(jīng)嵌入到流程中的工具。這樣可以減少上下文切換，并幫助開發(fā)人員更早地檢測和修復(fù)漏洞。此外，在集成開發(fā)環(huán)境（IDE）中利用人工智能工具進(jìn)一步簡化了流程，使開發(fā)人員可以在不離開編碼環(huán)境的情況下處理安全警報(bào)。

2. 設(shè)置警報(bào)優(yōu)先級

將安全引入開發(fā)過程還意味著糾正警報(bào)，但僅要求開發(fā)人員糾正所有安全警報(bào)是不現(xiàn)實(shí)的。一連串的警報(bào)，特別是誤報(bào)，可能會削弱開發(fā)人員對工具的信任，影響其生產(chǎn)力。一個(gè)良好集成的安全工具應(yīng)該有一個(gè)警報(bào)系統(tǒng)，直接向開發(fā)者顯示高優(yōu)先級的警報(bào) —— 例如，基于自定義和自動分類規(guī)則的警報(bào)設(shè)置、可過濾的代碼掃描警報(bào)以及解除警報(bào)的能力有助于構(gòu)建更有效的警報(bào)系統(tǒng)。這確保開發(fā)人員可以迅速解決緊急的安全問題，而不會被不必要的噪音所淹沒，并有助于最終清理組織的安全債務(wù)（如果隨著時(shí)間的推移積累，修復(fù)起來可能變得更加困難和昂貴）。

3. 與人工智能和自動化保持友好

嘈雜的警報(bào)、系統(tǒng)復(fù)雜度增加、資源有限以及威脅迅速演變，使得開發(fā)人員難以跟上漏洞。好消息是，人工智能和自動化可以通過減少誤報(bào)、實(shí)現(xiàn)一致的安全檢查和擴(kuò)展安全實(shí)踐來提供幫助。人工智能生成的代碼修復(fù)和漏洞警報(bào)將補(bǔ)救措施整合到開發(fā)人員的工作流程中。此外，人工智能可以增強(qiáng)對開源框架的建模，使漏洞檢測更加準(zhǔn)確。自動化功能，包括分支保護(hù)規(guī)則和狀態(tài)檢查，進(jìn)一步賦予開發(fā)人員主動解決安全問題的能力。

4. 讓開發(fā)人員參與安全決策

為了確保工程團(tuán)隊(duì)和安全團(tuán)隊(duì)之間的順暢合作，將開發(fā)人員納入安全流程和政策決策的制定過程至關(guān)重要。在實(shí)施新工具或更改政策之前，從開發(fā)者的角度尋求反饋至關(guān)重要。詢問有關(guān)當(dāng)前安全實(shí)踐的有效性、工具對工作流程的影響以及工具或?qū)嵺`的建議，可以提供改進(jìn)的見解。這種協(xié)作方式培育了更加面向開發(fā)者的安全環(huán)境。

5.圍繞安全編碼設(shè)定明確的期望

DevSecOps 不應(yīng)只是引入更多工具，而應(yīng)該是確立清晰的期望和有效使用現(xiàn)有工具的過程。對政策和安全編碼實(shí)踐的清晰溝通確保了在整個(gè) SDLC 過程中對安全的一致性處理。組織應(yīng)該創(chuàng)建安全編碼標(biāo)準(zhǔn)，然后選擇倡導(dǎo)者來清晰地在團(tuán)隊(duì)之間傳達(dá)政策。這種方法消除了模糊性，增強(qiáng)了開發(fā)人員對安全的意識，并在整個(gè)組織中培養(yǎng)了 DevSecOps 文化。

隨著開發(fā)人員在 DevSecOps 模式下承擔(dān)更多的安全責(zé)任，改善他們的用戶體驗(yàn)變得至關(guān)重要。投資于理解和解決開發(fā)人員的痛點(diǎn)的組織將收獲工程和安全團(tuán)隊(duì)之間增強(qiáng)的合作關(guān)系，從而實(shí)現(xiàn)安全代碼的快速交付。通過賦予開發(fā)人員作為第一道防線的權(quán)力，企業(yè)可以充分發(fā)揮 DevSecOps 的優(yōu)勢。