隨著技術的進步，向云的過渡實現了更快的部署，將安全性嵌入到軟件開發生命周期(SDLC)的每個階段至關重要。使安全成為開發和部署過程中不可或缺的一部分，使安全成為每個人的責任，這意味著及早發現漏洞，提高產品質量，并且安全不會成為軟件交付過程的瓶頸。將安全性集成到 DevOps 中會產生 DevSecOps，并且要使這種轉變成功，就需要完善的流程和實踐，并由專為現代技術和工作實踐設計的工具提供支持。

成熟度模型的關鍵領域

DevSecOps 成熟度模型使組織能夠確定他們在 DevSecOps 之旅中所處的階段，評估他們在實現最終目標方面的進展，并確定實現目標的后續步驟。

DevSecOps 的成熟度模型應該解決三個關鍵領域：

• 今天我們的 DevSecOps 成熟度水平如何？
• 我們的組織需要什么級別的 DevSecOps 成熟度？
• 我們需要做什么才能從我們所在的位置到達組織需要我們的位置？

我們探討了 DevSecOps 成熟度模型如何幫助交付業務價值，以及模型的級別和每個級別的優勢。

DevSecOps 成熟度模型的好處

DevSecOps 方法使組織能夠生成設計安全的應用程序，并將它們部署到可靠的生產環境中，并解決所有漏洞。這可以提高生產力和協作方面的業務成果，并為客戶建立可信賴的產品聲譽。通過 DevSecOps 成熟度模型的級別推進在以下方面帶來了越來越多的好處：

降低成本： DevSecOps 可以快速修復任何已識別的漏洞，從而縮短開發生命周期并在問題出現在生產環境之前將其消除。更有效地利用資源可降低開發成本，減少發布后問題可節省運營成本。

交付速度：通過將安全性集成到軟件開發生命周期中，應用程序可以更快地構建進度。在生命周期階段最接近代碼的團隊引入漏洞時，可以識別并修復漏洞。讓安全成為工作流程的一部分，而不是流程結束時的質量門檻，可以提高產品信心并實現更高效的發布計劃。

改進的安全性：將安全性集成到 SDLC 中可以使軟件在每個開發階段都是安全的，并且由于CI/CD 管道掃描工具，軟件在部署環境之間的傳輸也是安全的。團隊之間更好的協作和透明度可以降低風險，并使已識別的任何風險更容易減輕。

更好的客戶體驗： DevSecOps 提供更安全、質量更好的軟件，開發流程更短，發布和更新更頻繁，從而帶來更高的價值。客戶將體驗和報告更少的問題，并對您的產品高效、安全和可靠充滿信心。

DevSecOps 成熟度模型的級別

DevSecOps 成熟度模型有四個級別，第一個級別代表剛開始其 DevSecOps 旅程的組織的特征，最后一個代表已完全接受 DevSecOps 的組織的特征。這些級別應被視為指南，因為該過程更像是一個連續體，而不是一組嚴格的進入和退出標準。重要的是，一個組織必須完成所有級別的旅程——如果不完成之前的級別，就不可能達到和維持第 4 級。

級別 1是組織 DevSecOps 旅程的開始，其中團隊單獨工作，沒有充分考慮風險和安全性，大部分任務是手動完成的，補救工作通常在啟動后進行并且非常耗時。很少考慮審查進展順利或可以改進的地方。這里需要改變思維方式，強調協作對改善結果的重要性。

級別 2標志著 DevSecOps 旅程的真正開始，傳統的團隊界限開始模糊，創新受到歡迎。風險評估經常公開進行，常見任務部分自動化。由于更早的檢測以及對漏洞和錯誤配置的一些掃描，補救時間尺度得到改善。平臺可用性隨著配置自動化和擴展以及基本的 DR 規劃而提高。瓶頸減少了，但在生命周期結束時仍有許多安全工作要做。

第 3 級通過定期向可靠平臺發布高質量軟件產品來提高生產力和效率。持續協作和無可指責的文化盛行，在整個生命周期中嵌入全面的風險評估、威脅建模和安全性。在整個開發、測試和操作過程中都存在高水平的自動化，以及支持每周發布計劃的動態漏洞和錯誤配置掃描。

該模型的第 4 級看到最先進的組織構建在上述三個級別上，以實現向多個可靠生產環境發布多個日常代碼。安全不再是一個特定的領域或團隊，其流程和工具嵌入到整個生命周期中。非常高水平的自動化是完全采用 DevSecOps 的標志，威脅建模和評估、代碼驗證、測試、代碼掃描和部署都高度自動化。基礎設施即代碼是期望，平臺利用多個云服務提供商自動擴展。用戶旅程是完全可見的，并為高度發展和創新的開發方法提供信息，該方法始終如一地提供高質量和安全的軟件產品。