Page 44 - 《软件学报》2021年第10期
P. 44
3016 Journal of Software 软件学报 Vol.32, No.10, October 2021
DevSecOps 这一概念 [23,24] ,但这些研究关于 DevSecOps 理论内容的论述并不完整,易造成读者的片面理解.此外,
DevSecOps 为软件工程领域带来了哪些机遇和挑战也未明确指出,更难以在实际生产中指导 DevSecOps 的落
地,这些都严重制约了 DevSecOps 在国内的发展.为此,本文意欲正式向国内软件工程社区全面且详细介绍
DevSecOps 这一重要概念及相关内容,期望为今后 DevSecOps 实践落地和进一步研究奠定基础.
目前,工业界中的 DevSecOps 实践经验多以非公开出版的文献 [25] ,即灰色文献的形式加以总结和分享.这些
灰色文献对于理解 DevSecOps 实践现状具有重要意义,也是对学术文献研究内容的一种补充 [26] .因此,除了关注
正式发表的学术文献之外,本文也对讨论 DevSecOps 的灰色文献进行了收集,以期反映 DevSecOps 最新的研究
内容和工业界实践现状.
工业界与学术界都达成了这样一种共识,即 DevSecOps 是 DevOps 在安全领域的拓展 [21] .它在本质上与
DevOps 有很多相似之处,它们都是作为一种理念来指导软件的开发过程,但是具体的实践方式却与实际业务场
景、公司组织结构等因素息息相关.Gartner 在对业界 DevSecOps 实施现状进行调查 [27] 后,提出一个 DevSecOps
的实践框架(如图 1 所示),该框架强调了安全实践的重要地位.它通过贯穿整个 DevOps 生命周期的安全监控和
日志分析来保障持续交付的过程,进而加强安全团队与开发、运维团队之间的交流和协作.除了对原有 DevOps
流程进行改进之外,DevSecOps 还要求企业在自身的组织结构和公司文化上进行一定的调整,以进一步促进各
团队之间的合作.
Fig.1 DevSecOps practice framework proposed by Gartner [27]
图 1 Gartner 提出的 DevSecOps 实践框架 [27]
本文第 1 节介绍 DevSecOps 的相关研究背景,指出由 DevOps 转向 DevSecOps 的必要性.第 2 节介绍本文
资料收集的基本过程及数量分布.根据收集到的资料,第 3 节基于 CAMS 模型着重介绍 DevSecOps 的主要特征,
反映出研究者和从业者对 DevSecOps 理解上的共识.第 4 节详细介绍在 DevSecOps 核心原则指导下诞生的一
些典型 DevSecOps 安全实践.第 5 节讨论在组织中引入 DevSecOps 带来的裨益,也阐述引入 DevSecOps 所需面
临的挑战.第 6 节展望 DevSecOps 未来的发展和研究方向.第 7 节对全文内容进行总结.
1 学术文献与灰色文献中的 DevSecOps
为了更全面地反映 DevSecOps 在学术界和工业界的研究及应用现状,本文收集了与 DevSecOps 这一主题
相关的学术文献和灰色文献进行总结分析.但是由于目前国内外对 DevSecOps 的研究总体还处于起步阶段,且
文献之间的质量良莠不齐,难以进行系统化的文献综述,因此,本文的重点是向国内软件工程社区介绍
DevSecOps 的基本概念以及如何进行 DevSecOps 实践,以唤起国内从业者和研究者对 DevSecOps 更多的应用
和研究热情.
本文的文献搜集及分析过程借鉴了 Garousi 等人 [28] 提出的研究方法,进而规范化文献的搜索及筛选过程,
整个过程如图 2 所示.在确定主题后,组内成员围绕 DevSecOps 的基本概念和相关实践讨论得到一份可执行的
计划,包含确定搜索字符串、搜索范围、论文筛选、整理分析等多个部分.在整个过程中,组内成员严格遵守既
