【 讯】DevSecOps可谓是当前将安全纳入新组合式工作模型的一个非常流行的理念。尽管在国内DevSecOps刚刚起步，但是也有像华泰证券、招商银行等大企业执行得比较好。新思科技也会定期发布软件安全构建成熟度模型BSIMM报告，评估企业软件安全能力，告诉企业哪里做的好，哪里做的不够好，并且很积极地与中国企业在DevSecOps方面进行合作，落实一整套测试理念，将工具应用到软件开发生命周期。

新思科技软件质量与安全部门高级安全架构师杨国梁，日前接受 采访时表示：“DevOps 的环境和实践可帮助快速构建、可靠运行并不断改进软件解决方案。但是，DevOps 可能会破坏传统应用安全测试流程和工具。要在不影响安全性的情况下保持速度，需要将安全功能融入各个阶段，这种功能就是 DevSecOps。DevOps 不止是工具，而是把人员、流程和技术结合起来，高效交付更好的软件。可以通过专业服务、集成工具和托管服务帮助企业实现端对端安全集成。”

新思科技软件质量与安全部门高级安全架构师 杨国梁

新亮点：交互式应用安全测试

不久前，新思科技发布了全新的Polaris软件完整性平台。Polaris软件完整性平台将新思科技软件质量与安全的产品和服务的强大功能整合到一个集成解决方案中，帮助安全和开发团队更快地构建安全、优质的软件。杨国梁强调，交互式应用安全测试的需求越来越多，热度越来越高，预估今年交互式应用安全测试会有一个很大的增长。除了静态代码分析和交互式应用安全测试，新思科技还有软件组件分析。

随着开源的使用越来越多，开源组件问题也越来越严重。企业也开始意识到开源安全的重要性。有报告显示，61%的人认为最需要治理的就是这种第三方开源组件。因此，交互式应用安全测试业务新思科技预计2019年也会有增长。

虽然，托管服务是近些年才开始兴起，尤其是在金融行业。当内部的测试能力不足时，或者资源不够时，公司就会将一部分测试工作外包出去，让专业的人去做测试。杨国梁认为，如果软件开发商要集中上新的版本或者产品，外包出去可以有助于缩短开发周期，也能有安全保障。何乐而不为？

新思路：后台无感安全扫描

新思科技的DevSecOps理念，比较强调People（人员）、Process（流程）和Technology（技术）。杨国梁介绍，其实DevOps还有一个概念是CI/CD，比较注重流程的自动化，可以把领先的测试工具迅速地集成到整个流程。很多企业使用开源组件，很少考虑安全风险。那么，现在可以不需要研发去确保开源的安全，新思科技就可以在预设的前端设立防线，将组件进行扫描，研发人员也可以优先去选择那些已经接受过扫描的组件库，减少工作量，也尽可能地确保使用的组件是安全的。

在测试过程中，尽管通过技术手段扫描组件库是可行的，但是白盒测试并不适用。那就只能在开发的时候不停地添加一些扫描内容，新思科技在后台做无感的安全扫描，研发人员还是继续写代码，等代码写完，扫描结果也就同时出来了。研发之前，工作人员也要看Bug和debug。杨国梁认为，只要输出的结果是有足够信服度的，他们也愿意在这个阶段去进行修改。这比开发出来后，或者QA没通过，再来改要简单、高效得多。

新理念：将安全理念植入到研发

DecSecOps是一个持续的过程，需要不断完善，不断进步。新思科技在做过专业的市场调研后推出与市场期望相符的工具。但是并不是说这个工具就一定适用于所有工作流程。为了落地到具体环境中，需要做各种定制和适配。另外，部署DecSecOps的难点痛点也各有不同，有的企业没有足够的技能，有的没有充足的预算，有的可能是流程僵化，需要改变流程。所以落实DecSecOps，首先要把工具定制出来，再者要提升人员的能力。通过适配，培训，一步一步到达最后的目标。

在杨国梁眼里，DecSecOps更加适合一些发布周期短的软件。很多企业已经将发布缩短到一天之内。新思科技也接触过，一个小时发布一次的，所有检查必须在一个小时内完成，甚至还有更加苛刻的，所以发布时间是一个要求之一。另外，这些业务本身对安全比较敏感的，也适合银行业。

新思科技最终是希望将安全的理念植入到研发，当然如果短期内研发人员还不具备这样的意识，也可以通过技术手段，流程手段来保障。同样的错误犯了多次，即使不是主动去改变，也会被动改变，将错误规避掉，自然而然地提升安全意识。这就是DecSecOps核心价值所在。（文/徐培炎）