2020 DevSecOps行业洞察报告

　　报告上篇对DevSecOps实践情况进行了一定调查，通过问卷调查、资料收集、交流访谈及技术沙龙等形式开展相关调查工作，对千余名不同IT背景的专业人员进行了调研，通过他们的声音和真实反馈，表明了DevSecOps正逐渐被应用开发团队认可并加速实践，部分领先机构的应用安全工作在软件开发生命周期的早期就已经实现高度自动化。报告下篇描绘了不同行业的DevSecOps实践现状，梳理了当前发展热点技术，并对未来发展趋势做了展望。这部分内容主要依赖于同行业专家的沟通与座谈，并融合了我们在行业中观察到的具体现象、发展趋势和应用案例。

　　拥抱变化是敏捷安全建设的基石。希望通过本报告的调查及分析，能够推动更多行业用户结合自身业务特点，尝试了解、对比学习甚至着手采纳业内领先的DevSecOps敏捷安全体系及落地实践经验，从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。同时，也希望本报告能够鼓励更多不同类型的技术力量与DevSecOps行业展开新的对话，并成为建立新的安全基准的参考依据。

　　虽然国内的金融、能源、互联网等产业用户没有像美国一些头部机构那样做DevSecOps的深度转型，大部分还是现有的SDL体系，但这并不妨碍我们开始积极拥抱DevSecOps框架及CI/CD黄金管道涉及的敏捷安全活动。正是这些关键活动涉及的新兴技术的逐渐成熟和敏捷安全新理念的普及，推动了国内DevSecOps体系的逐渐落地，关键标志之一就是持续专注DevSecOps的创 新安全厂商开始涌现，我们的通用技术方案开始被越来越多的行业头部用户采纳，并分阶段持续为行业用户建立起逐渐完善的安全开发运营体系。