2012年，Gartner首次提出DevSecOps概念，旨在将安全性嵌入开发过程中的每个部分；十年后，DevSecOps已经成为端到端安全能力构建的事实标准。所以，在了解DevSecOps为什么重要以及如何落地之前，极狐GitLab将带领大家先从软件开发的角度弄明白什么是DevOps。
一、软件开发进入现代化之旅
回望过去，软件开发大概经历了四个重要阶段：第一阶段，90年代以前，软件开发是瀑布式，像交付硬件一样交付软件，最大的特点是项目庞大、开发周期长、出现原始问题时修复难度比较大。
第二阶段，2000年左右，敏捷开发逐渐成型，更关注微小变更，开发团队可以只交付部分功能，或者一个功能的框架。这种开发模式加快了软件交付速度，确保了主线上的代码在任何时间都可以工作。
第三阶段，2008 年前后，DevOps成为实现敏捷开发的最佳方法论之一。“敏捷”强调的是速度，要实现快速开发目标，自动化成为重要手段；而DevOps最核心的能力就是自动化。从概念来看，DevOps要打通开发、运维环节，通过更自动化的方式交付软件和架构变更过程，使得构建、测试、发布等整个流程能够更快捷、频繁和可靠，这便是DevOps。

7.部署到自服务的云服务环境中；
8.通过敏捷的DevOps过程管理；
9.自动化能力；
10.有明确定义且被策略驱动的资源分配。
只是，从应用安全的角度来看，这些新的服务能力，在推动软件开发走向更高阶段的同时，也带来了新的安全风险。
二、云原生时代面临新的安全挑战

Containers，容器是一个新应用，所以在安全体系构建中，如何把容器的内容纳入进来，是企业拥抱现代化业务架构的第一个挑战。包括如何使用云原生应用的库和进程解决业务问题，如何共享底层操作系统，如何使应用可移植等等，涉及很多新的安全问题。有了容器，我们需要把它编排起来，需要新的编排工具。如果，安排容器运行的方式和位置不合理，也容易被攻击。云原生时代，很多企业希望通过微服务架构改变之前单体式架构，会将应用拆解为较小的服务，通过API进行连接。其实，传统软件开发时代，也有API，只不过不像今天这样，有如此大的体量。并且，很多API都需要单独的管理工具，所以在安全策略上也必须做出相应的调整。
所以，从大的开发环境来看，传统安全模式已经不能满足云原生时代的需求。首先，云原生采用的是敏捷开发方式，通过DevOps过程进行发布，在高速开发模式下，传统安全和部署模式显然无法跟上，如果把跟不上安全的云原生应用投向生产环境，会成为重点攻击对象。另外，传统安全工具扫描速度慢，无法适应云原生环境的敏捷需求。最后，还有人为因素。传统安全模式下，人员较少，缺乏专业技能。如何从根本上解决云原生环境下面临的安全挑战呢？很多企业会采用安全左移的方式！
三、安全左移成为最佳方法论

为了从根本上解决安全团队的低效问题，高效团队会将信息安全 (InfoSec) 目标整合到日常工作中，团队可以实现更高水平的软件交付，并以更好的性能构建更安全的系统，这种想法称为“左移”。说白了，安全左移就是在软件开发生命周期的较早阶段，解决各种安全问题。因为，越早检查到安全漏洞，企业修复漏洞的成本就越低。
问题是，安全左移方法论该如何落地？
很多企业首先会考虑使用传统安全工具实现安全左移，但是一看到各种工具链，就会感觉力不从心。因为，不同企业对安全工具的需求不同；并且不同发展阶段，也会采用不同工具类型；如果使用不同厂商提供的产品，还要做各种测试，包括静态、动态页面扫描、供应链扫描、容器扫描等等。不仅要进行相关工具的匹配，还要将所有工具以及整个流程衔接起来。有时候，工具集成的成本，可能比工具本身的费用还要高，包括很多企业提供的安全看板，还要单独收费。所以，实现安全左移目标，就像企业把所有DevOps工具串起来一样，不仅花费巨额成本，最重要的是耗时费力，根本不可能完成。具体而言，安全左移要具备如下能力：
1.便捷、高效的扫描。每次代码提交即扫描，开发人员可以第一时间得到反馈；
2.扫描能力要可靠，能全面覆盖。扫描不同的安全类型，这样才能降低安全合规风险，进而降低总体成本；