DevSecOps 的崛起——以及 “向左移动” 对您的组织真正意味着什么。

这对于一个发人深省的统计数据来说怎么样？ 60% 的中小企业在网络攻击成功后的六个月内倒闭*。大公司流失数百万（或数十亿！）而品牌声誉却在流失。随着组织越来越多地采用安全编码实践，“向左移动” 的情况正在发生。随着DevSecOps的兴起，安全代码从一开始就成为人们关注的焦点。为了调查这一趋势对现实世界的影响，Evans Data Corp*** 的 Secure Code Warrior 委托人对开发人员对安全编码、安全代码实践和安全运营的态度进行了一项最新研究。

向左移动 — 多层次的移动

随着各公司意识到事后修复漏洞的成本要高出30倍，先发制人措施已成为新的黄金标准*。但是要使这些措施行之有效, 大家 在 SDLC 中必须具有安全意识，尤其是开发人员。

‍Shift One — 那么，现在谁应对此负责？

随着的崛起 DevSecOps，各组织正在采用安全编码实践。因此，我们的研究强调的首批转变之一是将代码安全的责任转移到操作层面。

当我们问开发人员和开发经理，“谁应该对代码安全承担最终责任？”，46％的人表示项目/团队负责人——几乎是那些表示应由应用程序安全团队负责的人的两倍。

这清楚地表明安全责任已从传统的应用程序安全团队转移到开发团队负责人。

第二轮——经理角色的变化  

实施安全代码培训的压力正从多个方向落在管理人员身上。

41% 的受访者表示，组织当务之急 安全代码培训 来自高级领导层。监管合规要求的增加也是一个因素。

经理在协助从传统开发过渡到DevSecOps方面发挥着关键作用，并正在成为培训和工具购买决策的关键决策者。

‍第三班——开发人员加紧努力

但是，我们也看到变革的压力自下而上；24% 的经理表示，他们实施安全编码做法是出于开发人员的建议和建议。这一点凸显了开发人员作为公司安全计划的贡献者所起的越来越重要的作用。向DevSecOps的转变将重点重新放在预防性安全编码实践上，这使开发人员转向 “第一道防线”。

第四班——改善团队动态  

虽然实施安全代码实践会对软件质量产生重大影响，但它也改变了团队向更好的工作方式。60% 的受访开发人员认为，采用安全代码实践增加了他们与其他开发人员的沟通，但收益并不止于此。

在所有接受调查的开发人员和经理中，有一半同意安全编码实践促进了开发人员与其领导者之间的更多合作。46％的人声称开发人员与利益相关者之间的合作有所加强。同时，有41％的人表示领导者和利益相关者之间的合作将得到加强。

DevSecOps 以新的方式将团队、领导者和利益相关者聚集在一起，改善了软件开发生命周期中不同角色和阶段之间的合作。

62% 的受访经理声称安全代码实践有助于提高代码发布的速度。这一事实与所有其他转变相结合，凸显了转向 DevOps 方法的明显好处。但是, 正如本文前面所述, 为了使这些措施有效, 大家 在 SDLC 中必须具有安全意识。这种见解对组织如何培训开发人员具有至关重要的影响。团队需要了解最近发现的漏洞，并学习他们编写代码时使用的特定语言：框架。简而言之，他们需要了解如何在日常工作环境中定位、识别和修复代码中的已知漏洞。这样的训练将你的团队从你的第一道风险线变成你的第一道防线。

作为安全编码变革的拥护者，Secure Code Warrior采用以人为本的方法来帮助您的组织 “向左移动”，并将您的整体安全方法从被动变为主动。

如果您想进一步了解动手实践、高度参与且久经考验的安全代码培训，这些培训可满足经理、开发人员和组织的需求，以实现 DevSecOps 的未来， 立即预订演示。

‍

*60％的小公司在遭到黑客攻击后的6个月内关闭。
‍https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM 软件组；最大限度地减少代码缺陷以提高软件质量并降低开发成本。
‍https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

***从反应转向预防：2021 年应用安全面貌的变化。 安全代码勇士和埃文斯数据公司
https://scw.buzz/3169uzS