DevSecOps 就是“现代软件交付”的同义词，它超越了早期的传统采用方式，成为当今软件交付领域的主流，并超越了集成和自动化，实现了真正的进步。这同时也是说，安全性必须与“一切皆代码”的趋势相同步，以便在不牺牲软件或代码质量的情况下，加速从摩擦分歧点到交付、启用的进程。

但与此同时，DevSecOps 还是存在一些采用方面的挑战，比如：

“左移”的能力

“左移”对于提升开发生产力，以及从一开始就建立起安全体系至关重要。这意味着，安全工具必须无缝集成至现有的开发人员工作流和工具链中，以获得快速、准确和可操作的反馈，以加速并简化事故补救和分流进程。

“安全实践和工具必须适应开发团队的需求，以及这些团队使用的开发环境、语言和框架。”

▲ 来源：SANS，“重新思考 DevSecOps 中的 Sec：安全即代码”研究

在 DevSecOps 中实现安全自动化

自动化是安全“左移”的最大动力。研究表明，使用自动化的组织是真正实施安全测试的两倍之多；虽然许多企业明确了自动化的必要性，并且已经实施了一些自动化功能，但仍存在更大的改进空间。 

“虽然 95% 的受访者拥有自动化，但只有33%的受访者将其部署管道完全自动化。此外，Gartner指出，32%的组织手动整合其安全工具。”

▲ 来源：Gartner^®，《安全工具：启用云原生 DevSecOps》调查分析 ，Dionisio Zumerle，2021 年 9 月 13 日  

确保外包、第三方和开源代码的安全

近年来，针对软件供应链的攻击，其严重性和频率都在明显升级。事实证明，利用开源组件来加速开发过程具有很大的优势，这就是为什么 98% 的代码库都依赖开源组件的原因。然而，供应链存在许多盲点或裂缝，极易被攻击者利用。

98%

的代码库依赖于开源组件

300%

新增针对供应链的攻击（2021）

205

修补漏洞的平均天数

61%

的测试应用存在 1 个及以上未列入 OWASP 前 10 名的高度或关键漏洞

您存在以上这些顾虑？不用担心！

领先的安全解决方案 Fortify 可以无缝集成至您现有的开发工具链中，通过提供从自动化 SAST 和 DAST 到软件组成分析等全方位的安全防御，可以在开发生命周期的每一阶段为您提供最高质量的威胁发现和补救建议。

（文章来源公众号：MicroFocus）

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

关于亿道电子

上海亿道电子技术有限公司是国内资深的研发工具软件提供商，公司成立于2009年，面向中国广大的制造业客户提供研发、设计、管理过程中使用的各种软件开发工具，致力于帮助客户提高研发管理效率、缩短产品设计周期，提升产品可靠性。

十多年来，先后与ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立战略合作伙伴关系，并作为他们在中国区的主要分销合作伙伴服务了数千家中国本土客户，为客户提供从芯片级开发工具、EDA设计工具、软件编译以及测试工具、结构设计工具、仿真工具、电气设计工具、以及嵌入式GUI工具等等。亿道电子凭借多年的经验积累，真正的帮助客户实现了让研发更简单、更可靠、更高效的目标。

欢迎关注“亿道电子”公众号

了解更多研发工具软件知识