感謝大家，前面幾位專家說的是讓我個人受益匪淺的東西，今天我講的稍微有點跨界，稍微輕松一點，盡量用比較輕松的方式跟大家分享我的一些想法。    

產(chǎn)生這種問題的主要原因，沒有DevOps之前，大家可以看到有很多的團隊，有很多流程，大概是這樣的，對應(yīng)的環(huán)境開發(fā)的測試環(huán)境，測試環(huán)境等等，站群服務(wù)器，對于我們成熟度很高的企業(yè)來說這不是問題，但是對于互聯(lián)網(wǎng)公司，或者中小型企業(yè)來說，這本身就有很大的問題。不同的環(huán)境，是由不同團隊負(fù)責(zé)維護的。經(jīng)常出現(xiàn)什么問題？不是Bug，是環(huán)境問題，要解決這個問題。DevOps的概念就不詳細(xì)講了，大家都是專家，大家都了解，DevOps就是解決了環(huán)境不統(tǒng)一，不知道每個環(huán)境有什么版本的問題。有了DevOps之后就產(chǎn)生了新的問題，程序員開始抱怨，你知不知道產(chǎn)品明天就要發(fā)布了，你提的這個高危漏洞至少需要改2天。開發(fā)改了，我們又要回歸測試了。DevOps把各個部門之間的壁壘給打通了，現(xiàn)在互聯(lián)網(wǎng)企業(yè)把運營安全團隊和運維安全團隊放在一起，是這樣的一個狀況，DevOps是很美好的東西。

我是夏天澤，我們公司叫開源網(wǎng)安，我個人是安徽區(qū)域的負(fù)責(zé)人。我想跟大家達(dá)到一個共識，我這個話題重點在聊什么，主要是應(yīng)用安全的問題。應(yīng)用安全包括什么？自研軟件的安全，如果我們廠商是軟件廠商，交付的產(chǎn)品，代碼是我自己寫的。前面有幾位銀行的負(fù)責(zé)人，銀行運維階段，把不同廠商的產(chǎn)品運行在我們自己內(nèi)部的環(huán)境上，這個應(yīng)用本身，這個軟件本身，這個平臺本身，是不是安全的？對應(yīng)到我們個人來說，我想保持健康的飲食、適當(dāng)?shù)倪\動，這是我們每個人可以自己控制的，這是個人生活，健康安全。對于應(yīng)用安全來說，云主機租用，因為代碼是你寫的，你要保證這個東西是安全的，如果你采用別人的產(chǎn)品，在你的環(huán)境里運行，要保證產(chǎn)品本身是安全的。我可以在外面做一些保護的措施，保護的東西，但是被保護的對象本身的脆弱性，如果用了很多盔甲給包起來，但是本身就是一個雞蛋殼，本身很脆弱，保護得再好意義也不是很大，我們要把雞蛋殼本身做得安全，不再是雞蛋殼，可能是鐵做的東西。

這是開源軟件安全分析報告，應(yīng)用程序中開源軟件代碼占的平均百分比是35%，公司使用的開源軟件數(shù)量比原計劃增加的倍數(shù)是2倍，平均每個應(yīng)用含有的開源軟件安全漏洞是22.5個。

這是Gartner的統(tǒng)計報告，同樣的問題問不同的人，你認(rèn)不認(rèn)為安全組把部署環(huán)境，或者開發(fā)的速度在拖慢呢？我們?nèi)绻柊踩藛T，他們說70%安全會拖慢的。我們同樣的問題去問開發(fā)人員，他們是81%。說明無論是開發(fā)，部署，還是交付流程，都會拖慢。敏捷開發(fā)，專家也說了，我們對于特定應(yīng)用來說，每兩周就要進行上線，對于大的企業(yè)來說，三四百個應(yīng)用是很重要的，每天有很多應(yīng)用上線，你的速度不行怎么辦？安全又會影響速度。DevSecOps，我跟美國同事聊了一下，他們說DevSecOps是由安全人員提出的，還有一種說法是SecDevOps安全要領(lǐng)先于DevOps。

對于不同的角色來說，側(cè)重點是不一樣的，對于開發(fā)者來說，缺乏安全意識。在中國，當(dāng)然在美國也是這樣，你想找到懂安全的開發(fā)，把應(yīng)用做到安全，一定是在設(shè)計階段，開發(fā)階段，就把相應(yīng)的安全想法和安全實施做進去，但是遇到一些不懂安全的開發(fā)，沒有安全意識，怎么把產(chǎn)品做到安全？你報了3個高危的安全問題，10個中危的安全問題，我怎么辦，基于市場的壓力可能會妥協(xié)。但是傳統(tǒng)來說，認(rèn)為安全的事情就是安全團隊的事情，缺乏應(yīng)用安全的專才，現(xiàn)在中國的安全團隊是做運維比較多一些，想往應(yīng)用內(nèi)部的時候缺乏相應(yīng)的經(jīng)驗。

安全這個東西不是你們一家在用，全世界都在用，被廣泛使用的東西，對它的研究越來越多，一旦發(fā)現(xiàn)小問題，你還沒有反映過來，攻擊代碼就已經(jīng)出來了，一旦使用了大量的第三方軟件就面臨著這樣的威脅。對于安全人員來說，完全不知道第三方代碼是怎么來的，如果用比較規(guī)范的引用方式，還可能通過人工的方式或者自動化的方式建立軟件成分資產(chǎn)，這個軟件里面有多少第三方庫，第三方是什么樣的版本，現(xiàn)在是什么狀況。

會上，開源網(wǎng)安CSO，安徽區(qū)域Leader的夏天澤先生，為大家?guī)?/span>《DevSecOps場景下自動化安全測試二三事》的主題演講。以下為演講實錄（未經(jīng)本人核實）：

希望有興趣的朋友可以找我聊，感謝大家！