19、DevSecOps：变革与未来发展趋势

DevSecOps：变革与未来发展趋势

1. 安全理念转变

传统安全工作往往各自为政，当发现安全漏洞时，人们通常选择保持沉默，以免被他人利用或导致公司失去客户和市场份额。然而，事实证明，公开安全漏洞、共享信息和协同工作才能让公司更安全。

对于投身 DevSecOps 之旅的安全从业者来说，首先要改变的可能就是自己。这不仅是组织的变革，更是组织成员自身的变革。从业者需要从“守门人”转变为“推动者”，从“规则制定者”转变为“教育者”。要真正拥抱开放和协作，就需要在工作中展现出这些特质，这可能也意味着个人的改变，因为如果自己不愿意改变，就无法有效地引领变革。

2. 将安全融入工作

随着安全协作的加强，安全应融入每个人的工作和日常事务中。这是 DevSecOps 协作性质的自然延伸，确保企业安全不再只是安全团队的孤立责任。

如今强调全栈开发者和 T 型员工，即员工不仅在某一领域（如 Java 编程）有深入经验，还具备广泛的知识以理解其运行的系统。DevSecOps 进一步强调，这种广泛的知识应涵盖安全领域。开发者必须了解安全开发实践，避免编写易受攻击的代码；平台工程师也需掌握安全知识，确保所构建的平台和开发的 API 不会受到攻击。

3. 安全前置

在 DevSecOps 中，安全不能是事后考虑的因素，而应是一切工作的基础。过去，安全测试通常在开发生命周期的末尾进行，即使公司每年只发布两次产品，这种方式也往往失败。如今团队每天发布数十甚至数百次产品，必须从一开始就考虑安全问题。

通过集成开发环境（IDE）和部署管道将安全左移，确保代码从一开始就是安全的。安全不应成为阻碍前进的收费站