Page 45 - 《软件学报》2021年第10期
P. 45
戴启铭 等:DevSecOps:DevOps 下实现持续安全的实践探索 3017
定的计划,以减少在搜索和筛选过程中的主观性.如果出现意见不一致,则通过组内讨论和咨询专家的方式予以
解决.
Fig.2 Process of literatures collection
图 2 文献收集过程
根据制定的计划,本文首先收集相关术语来构建查询串,然后用连接词“AND”和“OR”组成查询串分别进行
学术文献和灰色文献的检索,具体查询串如下:
DevSecOps OR SecDevOps OR DevOpsSec OR (DevOps AND Security) OR “Continuous Security”.
本文对文献的检索过程分为学术文献搜索和灰色文献搜索两个阶段.
对学术文献的搜索,本文选择软件工程领域主要的 4 个电子数据库进行自动检索,包括 IEEE Xplore、
ACM DL、SpringLink 和 Science Direct,同时将搜索范围限制在 2012 年 1 月~2019 年 10 月之间,累计
获得学术文献 203 篇;
对灰色文献部分的检索,本文参考 Garousi 等人 [28] 提出的搜索建议,使用 Google 进行灰色文献的检索,
累计获得灰色文献 289 篇.
考虑到灰色文献的特殊性,对检索得到的两份不同类型的文献集,本文分别应用了不同的筛选标准,见表 1,
以形成最终的文献资料集合.
Table 1 Inclusion/Exclusion criteria for academic literature and grey literature
表 1 学术文献与灰色文献的纳入/排除标准
学术文献 灰色文献
属于软件工程 用英文发表
能够全文查阅
纳入标准 内容要与 DevSecOps 相关,包括 DevSecOps 实践经验等
需要发表在经过评定的会议或者期刊上 能够全文查阅
需要关注 DevOps 下的安全问题
不是用英文发表 广告、软文
少于 6 页的短文
排除标准 视频
不是一级研究 重复的研究
重复的研究
对两种文献集分别应用筛选标准之后,最终保留 12 篇学术文献和 141 篇灰色文献进行分析.我们对文献中
讨论 DevSecOps 特征、实践、裨益与挑战的相关内容进行了记录,并对记录的内容应用主题分析方法加以总结
得到最终结果.每一篇文献都保证至少得到两名成员的审阅,当出现意见不一致时,第 3 名成员将一起评审决定
是否保留.
截至 2019 年 10 月,图 3 展示了学术文献的年份分布情况.尽管 DevSecOps 这一概念于 2012 年提出,但直到
2016 年才出现相关的学术研究.从分布趋势上看,近年来对 DevSecOps 的研究趋势稳步上升,并于近两年数量呈
倍数上涨,正逐渐成为行业热门话题.
