如何拯救一个陷入困境的DevSecOps项目

Contrast Security的DevSecOps转型架构师Larry Maccherone在一场虚拟峰会中分享了如何改善DevSecOps项目的实战经验。他指出,开发与安全团队之间长期存在文化差异,需要系统性方法来推动组织变革。他在Comcast的实践表明,经过该项目的157个团队漏洞数量降至原来的六分之一,安全管理人员也从40人缩减至10人,效率大幅提升。

开发团队与安全团队之间长期存在历史和文化上的分歧——前者追求速度、偏好承担风险、关注盈利,后者则行事审慎、规避风险、侧重成本控制。与此同时,开源代码库和云原生应用的大量使用正在催生新的网络安全威胁,迫使DevSecOps团队寻找新的应用安全解决方案、更强的可观测性以及更有效的协作模式。

在这段存档主题演讲中,Contrast Security公司的DevSecOps转型架构师Larry Maccherone分享了如何拯救一个陷入困境的DevSecOps项目。

转变思维方式是关键

人们通常认为,只要制定更具针对性、更易落地的安全策略,只要更严格地执行这些策略并配套相应的指标激励机制,只要加强培训——尤其是面向开发人员的培训,并通过"安全倡导者计划"推动与工程团队的协作,或者只要选对工具并正确集成,DevSecOps就能实现。

这些方向本身没有问题,但仅凭这些还不足以在企业规模上推行一个完整的项目。真正需要的,是一套系统性地改变组织文化的方法——既涵盖安全侧,也涵盖工程侧。Larry Maccherone将这套方法称为"DevSecOps转型蓝图"。

以Comcast为例

在Comcast推行这一方案时,团队从600个工程团队中抽取10个进行实验。Larry将第一年近一半的预算用于建立度量体系,以便通过数据来验证哪些措施有效、哪些存在偏差,以及哪些措施虽然有效但投入产出比不高。

首批参与项目的157个团队,其漏洞数量仅为未参与团队的六分之一。为排除选择偏差,团队还进行了组内分析,对比了这些团队在参与项目前后的数据,结论依然成立——风险降低了五到六倍。

在资源投入方面,同样取得了显著成效。项目运行之初,仅应用安全漏洞管理一项就需要约40名全职人员;而在五年项目结束后,这一数字降至零,整个项目的运营仅需约10人负责。

告别"DevOps化妆术"

Larry指出,很多人将DevSecOps理解为:在传统应用安全思路上套一层DevOps的外壳,或者仅仅是引入一些工具、要求开发人员自行执行,或者仅仅是"加强协作"。他认为这并非真正意义上的DevSecOps。

尽管他本人曾撰写《DevSecOps宣言》,但近年来他已逐渐远离这一术语,因为它已被过度使用,被很多人以片面的方式来定义。他现在更倾向于使用"以开发者为中心的应用安全"这一表述,有时也被称为"左移",而在他目前所在的Contrast公司,则进一步提出了"智能移位"(Shift Smart)的理念。

Q&A

Q1:DevSecOps转型蓝图的核心是什么?

A:DevSecOps转型蓝图的核心不是单纯依赖工具或策略,而是系统性地改变组织文化,涵盖安全团队和工程团队两侧。Larry Maccherone强调,仅靠制定政策、引入工具或加强培训是不够的,需要建立完善的度量体系,通过数据验证每一项措施的有效性,并以此为依据持续优化转型路径。

Q2:Comcast实施DevSecOps转型后取得了哪些具体成果?

A:在Comcast的实践中,参与项目的前157个工程团队漏洞数量仅为未参与团队的六分之一,风险降低了五到六倍。在人力资源方面,原本需要约40名全职人员负责应用安全漏洞管理,项目结束后这一数字降至零,整个项目仅需约10人运营,效率大幅提升。

Q3:"智能移位"(Shift Smart)和"左移"有什么区别?

A:"左移"指的是将安全测试和检测工作尽早引入开发流程,而非等到上线后再处理。"智能移位"是Contrast公司在此基础上的进一步演进,强调不仅要提前介入,还要以更智能、更有针对性的方式嵌入安全能力,避免给开发人员带来不必要的负担,从而真正实现以开发者为中心的应用安全。

来源:InformationWeek

0赞

好文章,需要你的鼓励

2026

07/03

16:59

分享

点赞

邮件订阅