企业安全建设中,安全风险就像是蝴蝶效应,它虽然不会像多米诺骨牌一样瞬间将企业安全全盘推倒,但却会持续散发影响力。随着网络环境与攻击方式的复杂性,传统查缺补漏式的安全建设模式无法有效应对安全风险,单一、单点的安全防护更是非常滞后。
在此背景下,最佳的选择便是将安全贯穿于企业业务生命周期的每一个环节,从源头及时治理安全问题,真正走出企业安全建设的“囚徒困境”,这便是引入DevSecOps的原因。
DevSecOps作为安全领域中逐渐步入成熟期的技术体系,从最初的理念到如今少量的成功实践案例,中间经历了大量的探索与发展。如今,很多企业已经意识到DevSecOps的重要性并想要有所实践,但仍然面临大量挑战。
本次FreeBuf咨询邀请国内DevSecOps实践先行者某金融机构、携程、腾讯等分别从DevSecOps工具链及企业落地实践等方面研究探讨,共同推出一份DevSecOps企业实践报告,为企业CSO提供安全建设的有效参考。内容亮点如下:
一、DevSecOps 发展现状
DevSecOps最早由Gartner咨询公司研究员David Cearley在2012年首次提出。2016年9月,Gartner发布报告《DevSecOps: How to Seamlessly Integrate Securit