开发团队与安全团队之间长期存在历史和文化上的分歧——前者追求速度、偏好承担风险、关注盈利,后者则行事审慎、规避风险、侧重成本控制。与此同时,开源代码库和云原生应用的大量使用正在催生新的网络安全威胁,迫使DevSecOps团队寻找新的应用安全解决方案、更强的可观测性以及更有效的协作模式。
在这段存档主题演讲中,Contrast Security公司的DevSecOps转型架构师Larry Maccherone分享了如何拯救一个陷入困境的DevSecOps项目。
转变思维方式是关键
人们通常认为,只要制定更具针对性、更易落地的安全策略,只要更严格地执行这些策略并配套相应的指标激励机制,只要加强培训——尤其是面向开发人员的培训,并通过"安全倡导者计划"推动与工程团队的协作,或者只要选对工具并正确集成,DevSecOps就能实现。
这些方向本身没有问题,但仅凭这些还不足以在企业规模上推行一个完整的项目。真正需要的,是一套系统性地改变组织文化的方法——既涵盖安全侧,也涵盖工程侧。Larry Maccherone将这套方法称为"DevSecOps转型蓝图"。
以Comcast为例
在Comcast推行这一方案时,团队从600个工程团队中抽取10个进行实验。Larry将第一年近一半的预算用于建立度量体系,以便通过数据来验证哪些措施有效、哪些存在偏差,以及哪些措施虽然有效但投入产出比不高。
首批参与项目的157个团队,其漏洞数量仅为未参与团队的六分之一。为排除选择偏差,团队还进行了组内分析,对比了这些团队在参与项目前后的数据,结论依然成立——风险降低了五到六倍。
在资源投入方面,同样取得了显著成效。项目运行之初,仅应用安全漏洞管理一项就需要约40名全职人员;而在五年项目结束后,这一数字降至零,整个项目的运营仅需约10人负责。
告别"DevOps化妆术"
Larry指出,很多人将DevSecOps理解为:在传统应用安全思路上套一层DevOps的外壳,或者仅仅是引入一些工具、要求开发人员自行执行,或者仅仅是"加强协作"。他认为这并非真正意义上的DevSecOps。
尽管他本人曾撰写《DevSecOps宣言》,但近年来他已逐渐远离这一术语,因为它已被过度使用,被很多人以片面的方式来定义。他现在更倾向于使用"以开发者为中心的应用安全"这一表述,有时也被称为"左移",而在他目前所在的Contrast公司,则进一步提出了"智能移位"(Shift Smart)的理念。
Q&A
Q1:DevSecOps转型蓝图的核心是什么?
A:DevSecOps转型蓝图的核心不是单纯依赖工具或策略,而是系统性地改变组织文化,涵盖安全团队和工程团队两侧。Larry Maccherone强调,仅靠制定政策、引入工具或加强培训是不够的,需要建立完善的度量体系,通过数据验证每一项措施的有效性,并以此为依据持续优化转型路径。
Q2:Comcast实施DevSecOps转型后取得了哪些具体成果?
A:在Comcast的实践中,参与项目的前157个工程团队漏洞数量仅为未参与团队的六分之一,风险降低了五到六倍。在人力资源方面,原本需要约40名全职人员负责应用安全漏洞管理,项目结束后这一数字降至零,整个项目仅需约10人运营,效率大幅提升。
Q3:"智能移位"(Shift Smart)和"左移"有什么区别?
A:"左移"指的是将安全测试和检测工作尽早引入开发流程,而非等到上线后再处理。"智能移位"是Contrast公司在此基础上的进一步演进,强调不仅要提前介入,还要以更智能、更有针对性的方式嵌入安全能力,避免给开发人员带来不必要的负担,从而真正实现以开发者为中心的应用安全。
好文章,需要你的鼓励
Anthropic于6月30日发布Claude Sonnet 5,相较前代Claude Sonnet 4.6在编程、推理、工具使用及知识工作方面均有显著提升。该模型可自主制定计划、使用浏览器和终端等工具,达到数月前需更大更贵模型才能实现的水平。安全评估显示其不良行为率更低。Sonnet 5默认开启自适应思维,采用更新的分词器,性能接近Opus 4.8但价格更低,现已面向所有订阅计划开放。
复旦大学联合多机构提出A2World框架,通过210万条真实机器人轨迹进行动作条件化预训练,将学到的物理动力学先验同时迁移到仿真模拟和策略控制两个方向,在LIBERO和真实机器人任务上均取得当前最优表现。
人工智能基础设施的快速扩张不仅带来总用电量激增,更在改变电网的运行特性。AI训练任务高度同步、计算密集,推理任务则分散且难以预测,两者均可在极短时间内造成电力需求骤变。数据中心的地理集中分布进一步加剧局部电网压力。现有监管框架多基于稳定工业负荷设计,难以适应这类新型需求。专家指出,电网规划需从关注总能耗转向关注需求波动性与同步效应。
同济大学研发的FLISP系统,让无人车与无人机在水电隧道中无需建图、仅靠激光雷达实时协作导航,规划延迟仅7毫秒,成功率100%。