nexus/wiki/concepts/DevSecOps.md

title, type, tags, sources, last_updated

title	type	tags	sources	last_updated
DevSecOps	concept	devops security sdlc automation ci-cd	what-is-devsecops-best-practices-benefits-and-tools	2025-12-19

Definition

DevSecOps（Development + Security + Operations）是一种将安全实践深度嵌入软件开发生命周期（SDLC）全程的工作方法论，使安全成为开发、安全、运营三团队的共同责任，而非独立的末端检查环节。

Core Principles

• Security as Code：以代码形式定义安全策略，实现自动化执行和版本控制
• Shift Left：在开发周期早期发现并修复安全漏洞，降低修复成本
• Shift Right：在应用上线后持续进行安全监控，快速响应新发现漏洞
• Shared Responsibility：全员对安全负责，而非仅依赖安全团队
• Automation First：将安全测试集成到 CI/CD 流水线，减少人工干预

Key Tools

工具类型	说明	典型工具
SAST	静态代码分析，编码阶段使用	SonarQube, Checkmarx
DAST	动态渗透测试，模拟外部攻击	OWASP ZAP, Burp Suite
SCA	软件成分分析，扫描第三方依赖漏洞	Snyk, Dependabot
IAST	运行时交互式测试，测试阶段使用	Contrast Security

Relationship with DevOps

DevSecOps 是 DevOps 的安全扩展：

• DevOps 强调开发与运营协作，追求速度与效率
• DevSecOps 在 DevOps 基础上全程嵌入安全实践
• 两者共享 CI/CD 流水线文化，但 DevSecOps 在每个阶段加入安全门控

Key Metrics

• 据报告，70% 的上线后发现的安全漏洞可通过 DevSecOps 实践预防
• "break the build" 机制：在安全风险超阈值时自动停止构建流程
• 安全漏洞修复成本：开发早期修复成本仅为上线后的 1/100 ~ 1/10

Related Concepts

• Shift Left — 在开发早期识别安全缺陷
• Shift Right — 上线后持续安全监控
• Policy as Code — 安全策略即代码
• CI/CD 安全 — CI/CD 流水线中的安全自动化
• OWASP Top Ten — Web 应用安全标准

Aliases

• SecOps (Security Operations)
• DevOpsSec
• Secure DevOps