现今社会存在各种网络安全事件，比如勒索病毒导致许多网络系统瘫痪，大量注册用户个人数据泄露导致企业面临破产，勒索软件成为2021年增长最迅猛的网络攻击工具，仅在一年内猛增29%，通用漏洞披露也从223个增加到了288个，勒索软件攻击策划者持续紧盯零日漏洞，执行供应链攻击，微调漏洞链，搜索废旧产品中的漏洞，以提高勒索软件攻击得逞机率，勒索软件正走向武器化，通过漏洞链摧毁整条供应链。

2021年勒索病毒对医疗保健行业、石油天然气供应链、食品分销商及其供应链、药房和学校的攻击程度大幅提升。众所周知，这几个关键行业部门缺少网络安全资金或具有专业知识的员工以进行威胁检测和威慑，还常常使用至少一年未打补丁的系统，这就给网络犯罪分子以可乘之机。

网络安全形势严峻，各个国家、政府、企业、医院、学校都积极投入到捍卫网络安全，保护公司资产，维护用户合法权益的保卫战当中。

目前国内企业软件安全开发建设大致分为3类，一类采用SDL路线，起源于微软，一类采用DevSecOps,起源于Gartner 研究公司的分析师 David Cearley，“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。第三类融合SDL和DevSecOps内容，结合本公司研发制度采用定制安全标准。

微软SDL流程框架图

Gartner DevSecOps流程框架图

我们看出软件安全开发是软件开发的必然趋势，即必须要将安全纳入到传统软件开发流程的每个环节。

简单介绍DevOps（Development和Operations的组合词）是一种重视“软件开发人员（Dev）”和“IT运维技术人员（Ops）”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程，来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。但是Sec就是安全部分仍然相对独立在项目流程外，DevSecOps就是解决安全融入项目质量提高的过程。所有安全流程加入研发工作的每个环节的目的是——省钱，企业增加业务流程最重要的是成本问题，以往安全不能完全融入开发 流程就会影响效率，降低收益。

这里经常提到的一个概念就是安全左移，什么是安全左移呢？结合下图对DevSecOps和SDL进行对比图示来介绍：

这里是完整的两个流程对比，从实践上讲SDL对发挥人的作用更对，DevSecOps对工具的作用更重视，两者都是把安全的关注点放到了项目的最初部分，也就是说传统厂商对自己发布一个软件是不是安全如何确定？安全就从进入市场标准左移到了企业内部出厂标准。出厂标准之后，自己内部安全审查反馈给研发和测试也花时间和成本——核心问题就被注意到了：代码质量偏低！所以安全左移目的是让研发把代码质量提高，产出可信的产品提供给市场。

对于企业而言如何选择安全开发工作流程，完全取决于成本投入及产出对比，以及符合项目时间节点的安全研发流程。今天大数研发类企业，都采用了DevSecOps的方式，用以保障项目按时按点安全上线，DevSecOps也有大把的成功案例值得我们借鉴。