1、2023年全球DevSecOps现状调查影响软件安全的策略、工具和实践 2023 年 DevSecOps 现状调查 概述 关于Synopsys 2023年DevSecOps现状调查 报告 关于DevOps和DevSecOps自动化的好处ASOC/ASPM在DevSecOps中的应用日益增长Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征 附录概述关于Synopsys 2023年DevSecOps现状调查 报告 2023年初，Synopsys网络安全研究中心(CyRC)联合国际市场研究咨询公司Censuswide，对负责安

2、全事务的1,000名IT专业人士开展了一项调查。受访者包括开发人员、AppSec专业人员、DevOps工程师、CISO以及在技术、网络安全和应用/软件开发领域担任各种职务的专家。受访者来自美国、英国、法国、芬兰、德国、中国、新加坡和日本。所有的受访者都有资格参与调查，与其所属行业和公司规模无关。开发本次调查面临的挑战之一是“DevSecOps”一词涵盖了多个学科，其中许多学科都有自己独特的角色。本次调查希望覆盖不同专业背景的人士，既包括“直接”编写代码的开发者，也包括从事软件安全相关工作的CISO级别的人员关于DevOps和DevSecOps加速开发、持续交付、管道弹性、可扩展性和端到端透明度

3、是实现DevOps的关键原则。满足这些标准需要开发、安全和运维人员共同努力。DevSecOps是DevOps方法论的延伸，旨在向多个团队灌输安全文化，并且尽早在DevOps环境中通过一致的方式来解决安全问题。通过将安全实践集成到软件开发生命周期(SDLC)和CI管道中，DevSecOps旨在将安全性从一个独立的阶段转变为开发生命周期的一部分。DevSecOps在涉及软件开发的各个组织中都广受欢迎。SANS 2023年DevSecOps现状调查 显示，DevSecOps已经成为一种重要的业务实践和风险管理方法。但在过去，当安全团队和开发团队试图把安全性纳入他们的流程时，经常会有不同意见，这很大程

4、度上是因为这种做法会把传统的应用安全测试(AST)工具引入软件开发生命周期(SDLC)。开发者经常抱怨AST工具太复杂、难以学习、性能低下以及产生大量“噪音”，这些都会给DevOps带来“摩擦”也就是，那些在软件开发过程中阻止开发人员轻松快速构建代码的各种东西。大多数受访者表示，他们对自己使用的AST工具普遍感到不满35%34%33%33%工具不能根据漏洞的暴露程度、可利用性和严重程度来确定修复顺序因速度太慢而无法适应快速的发布周期/持续部署不准确/不可靠性价比低 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 一致性自动测试可确保对每一次的构建和部署一

5、致地进行安全检查。手动测试可能会导致测试过程和覆盖范围不一致。可扩展性随着软件复杂性的增长，手工测试将变得不切实际。自动测试容易扩展，以便跨越不同组件进行大量测试。持续集成和持续部署(CI/CD)自动测试在CI/CD管道中至关重要，因为这些管道中会发生快速而频繁的代码变更。自动测试可以快速验证变更，防止错误代码进入生产环境。持续改进自动测试提供数据和洞察，可以帮助开发和安全团队随时间的推移改进安全实践，允许他们系统地分析和处理漏洞模式。记录自动测试可以记录整个测试过程，从而更容易跟踪和审计安全措施与合规要求。减少人为错误由于疲劳或疏忽，手动测试容易出错。自动测试遵循预定义的脚本，能够降低人为错

6、误的风险。节省时间和成本在开发过程的后期或生产过程中识别和修复安全问题既耗时又昂贵。自动测试可将这些费用降至最低。改进开发者体验自动的应用安全测试允许开发者采取主动的、全面的、有助于学习和提高安全知识和技能的方式来解决安全问题，从而增强开发者体验，最终提高软件安全性并提升整个开发过程的效率。.自动化的好处DevOps的核心原则是在SDLC的每个阶段都自动执行手动流程。对任何组织而言，自动化都是通过持续集成或持续部署来加速开发和交付代码的基本前提。成功的DevSecOps需要集成和自动化的相互作用，以及标准和策略的指导。这样，既能让安全团队相信安全利益得到了保障，又能让DevOps团队保持工作状