---
title: "DevSecOps"
type: concept
tags: [devops, security, sdlc, automation, ci-cd]
sources: ["what-is-devsecops-best-practices-benefits-and-tools"]
last_updated: 2025-12-19
---

## Definition

DevSecOps（Development + Security + Operations）是一种将安全实践深度嵌入软件开发生命周期（SDLC）全程的工作方法论，使安全成为开发、安全、运营三团队的共同责任，而非独立的末端检查环节。

## Core Principles

- **Security as Code**：以代码形式定义安全策略，实现自动化执行和版本控制
- **Shift Left**：在开发周期早期发现并修复安全漏洞，降低修复成本
- **Shift Right**：在应用上线后持续进行安全监控，快速响应新发现漏洞
- **Shared Responsibility**：全员对安全负责，而非仅依赖安全团队
- **Automation First**：将安全测试集成到 CI/CD 流水线，减少人工干预

## Key Tools

| 工具类型 | 说明 | 典型工具 |
|---------|------|---------|
| [[SAST]] | 静态代码分析，编码阶段使用 | SonarQube, Checkmarx |
| [[DAST]] | 动态渗透测试，模拟外部攻击 | OWASP ZAP, Burp Suite |
| [[SCA]] | 软件成分分析，扫描第三方依赖漏洞 | Snyk, Dependabot |
| [[IAST]] | 运行时交互式测试，测试阶段使用 | Contrast Security |

## Relationship with DevOps

DevSecOps 是 [[DevOps]] 的安全扩展：
- DevOps 强调开发与运营协作，追求速度与效率
- DevSecOps 在 DevOps 基础上全程嵌入安全实践
- 两者共享 CI/CD 流水线文化，但 DevSecOps 在每个阶段加入安全门控

## Key Metrics

- 据报告，**70% 的上线后发现的安全漏洞**可通过 DevSecOps 实践预防
- "break the build" 机制：在安全风险超阈值时自动停止构建流程
- 安全漏洞修复成本：开发早期修复成本仅为上线后的 1/100 ~ 1/10

## Related Concepts

- [[Shift Left]] — 在开发早期识别安全缺陷
- [[Shift Right]] — 上线后持续安全监控
- [[Policy as Code]] — 安全策略即代码
- [[CI/CD 安全]] — CI/CD 流水线中的安全自动化
- [[OWASP Top Ten]] — Web 应用安全标准

## Aliases

- SecOps (Security Operations)
- DevOpsSec
- Secure DevOps