《2020 DevSecOps行业洞察报告》正式发布了

随着云计算、微服务和容器技术的快速普及，IT基础架构和政企组织的业务交付模式迎来了巨大变迁，传统SDLC开发模式向DevOps敏捷开发和持续交付模式迁移。

2020年12月30日，悬镜安全联合Freebuf咨询在CIS大会“DevSecOps实践与技术专场”正式对外发布《2020 DevSecOps行业洞察报告》。悬镜安全创始人兼CEO子芽、Freebuf咨询负责人尤文、悬镜安全COO董毅出席了报告发布仪式。

报告出品人子芽表示：今年的RSA Conference于2月24-28日在美国旧金山如期召开， 会议主题为“Human Element”，人为因素被认为是影响未来网络安全发展最深远的主题。会议期间，官方还基于参会人员的关注热度，发布了2020年网络安全行业十大趋势，DevSecOps再次成为大家关注的焦点之一。其中，有着“全球网络安全风向标”之称的RSA创新沙盒，进入十强的安全厂商中近半数聚焦在应用安全领域，BluBracket和ForAllSecure等就是今年DevSecOps 领域的创新厂商代表，Comcast、US DoD 及NIWC等机构的DevSecOps 落地应用也逐渐成为行业实践典范。

虽然国内的金融、能源、互联网等产业用户没有像美国一些头部机构那样做DevSecOps的深度转型，大部分还是现有的SDL体系，但这并不妨碍我们开始积极拥抱DevSecOps框架及CI/CD黄金管道涉及的敏捷安全活动。正是这些关键活动涉及的新兴技术的逐渐成熟和敏捷安全新理念的普及，推动了国内DevSecOps体系的逐渐落地，关键标志之一就是持续专注DevSecOps的创新安全厂商开始涌现，我们的通用技术方案开始被越来越多的行业头部用户采纳，并分阶段持续为行业用户建立起逐渐完善的安全开发运营体系。悬镜安全联合 Freebuf 咨询在国内发布首个DevSecOps行业调查报告，希望从行业用户、厂商力量及安全媒体等综合视角观察并分析DevSecOps在国内的发展现状。

整个报告分上下篇，上篇为调查篇，对DevSecOps实践情况进行了一定调查。通过问卷调查、资料收集、交流访谈及技术沙龙等形式开展相关调查工作，对千余名不同 IT 背景的专业人员进行了调研，通过他们的声音和真实反馈，表明了DevSecOps正逐渐被应用开发团队认可并加速实践，部分领先机构的应用安全工作在软件开发生命周期的早期就已经实现高度自动化。

下篇为洞见篇，描绘了不同行业的DevSecOps实践现状，梳理了当前敏捷安全技术发展热点技术，并对未来发展趋势做了初步预测。这部分内容主要依赖于同行业专家的沟通与座谈，并融合了出品方在行业中观察到的具体现象、发展趋势和应用案例。

该报告面向全行业首次发布了DevSecOps安全工具金字塔体系，第一次系统性定义了面向未来DevSecOps技术演进的工具链技术，并综合考虑了新型技术的前瞻性、落地实践难度及市场普及程度所需周期，涵盖了从传统建设层、应用实践层再到卓越层的不同的发展阶段。

DevSecOps 安全工具金字塔

金字塔中的安全工具分层与组织的DevSecOps成熟度分级没有直接关系，仅使用低层次的安全工具也可以完成高等级的DevSecOps实践成熟度，反之亦然。金字塔中的工具分层与该工具的普适性、侵入性、易用性等因素相关。普适性强、侵入性低、易用性高的安全工具更适合作为底层基础优先引入，普适性弱、侵入性高、易用性低的工具则适合作为进阶工具帮助DevSecOps实践变得更加完善且深入。

此外，该报告预判，IAST将在2021年继续保持高增长，因IAST技术本身的业务透视、实时检测、超低误报率、可以定位到具体代码行等技术特点，是当前支撑敏捷安全的首选工具，在节奏上可以与敏捷开发良好匹配。

除了IAST，报告还预测OSS开源治理将成为新的热点，RASP出厂免疫将迎来新发展。当开源无处不在，风险也如影随形，在组织的DevSecOps实践中，会更加注重开源风险的监测与治理，构建新一代开源威胁综合管控平台势在必行。随着网络安全从边界安全到主机安全、再到应用安全的发展演进，运行时安全将成为下一代应用安全的重心，RASP技术通过与IAST技术的融合，将会提供更易于接受和使用的部署方案，为业务应用出厂默认安全提供更加接地气的创新解决方案。

报告出品方希望通过本报告的调查及分析，能够推动更多行业用户结合自身业务特点，尝试了解、对比学习甚至着手采纳业内领先的DevSecOps敏捷安全体系及落地实践经验，从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。同时，也希望本报告能够鼓励更多不同类型的技术力量与DevSecOps行业展开新的对话，并成为建立新的安全基准的参考依据。