实践DevSecOps，很多人第一步就做错了.docxVIP

实践DevSecOps，很多人第一步就做错了 实践DevSecOps的第一个误区，就是错把“DevSec”当成“DevSecOps”，忽视“OpsSec”； 系统不安全是常态，应急响应流程存在不足是常态，防微杜渐、严防死守的观念已经不适应现在行业发展，动态的安全就需要关注Ops领域。 一、将安全性和可靠性结合 业界不少关于DevSecOps实践的文章，大都是一些静态代码检查、被动扫描器、安全框架和SDK、域名上线卡点之类的介绍，文章不约而同地避开了软件的维护、运维阶段。实践DevSecOps的第一个误区，就是错把“DevSec”当成“DevSecOps”，忽视Ops阶段仅将安全左移是一件简单的事，但不是正确的事。 笔者认为是时候谈谈安全和可靠的融合了，该领域是未来5到10年DevSecOps行业的主战场，而国内阿里、腾讯早已经在布局这方面的人员和技术积累。 二、错把“DevSec”当成“DevSecOps” 折腾开发人员是安全团队的一项传统技能，安全的偏见认为运维就是做申请机器，打补丁的事情，其实现在SRE的角色已经完全不同，虽然折腾SRE总是没人愿意去做，但是我们不能妥协，工作哪能不严格呢？和和气气怎么能把工作搞好，变革是需要付出代价的。 只关注dev的sec，不关注ops阶段的sec，主要体现在四个方面： 建设的思路受限于过去的经验。对于云原生项目、微服务、大数据、SaaS的项