3030                                 Journal of Software  软件学报 Vol.32, No.10, October 2021

                        造的开发、安全、运维一体化的文化氛围下,各个团队紧密合作,形成支持快速反馈和修复的安全工作
                        流.开发团队在专注于业务开发的同时,兼顾考虑常见的安全问题,运维和安全团队为实现快速的业务
                        开发,迭代提供必要的支持,进一步加强公司内各个组织的活力,从而推动业务的快速、积极发展.

                 4.2   DevSecOps挑战
                    但组织应用 DevSecOps 相关实践也并非易事,它需要改变组织内现有的流程和结构,面临着诸如组织、文
                 化、流程与技术等多方面的挑战            [21] .
                       首先,DevSecOps 可能会改变现有的组织结构和工作流程.如果企业没有理解在 DevOps 环境中注重安
                        全的必要性    [79] ,其组织结构就难以发生变化.在企业转向 DevSecOps 的过程中,团队和专家也需要对自
                        身进行调整以适应新的组织结构,他们需要掌握新的各项技能,需要集成新的工具.这些全新的内容需
                        要组织成员花费一定的时间去熟悉和适应,无疑增加了他们的工作负担                         [80] ;
                       其次,如何掌握 DevOps 的敏捷性与安全性之间的平衡,是一个需要解决的重要挑战.DevSecOps 的目标
                        是打破 3 个不同团队之间的沟通壁垒,在公司内部营造一个协作的环境.然而,由于这些团队的核心目
                        标不同  [76] ,安全团队在融入 DevOps 的过程中,通常会遭到开发团队的抵制.开发人员认为安全不利于
                        DevOps 的敏捷性,会严重拖慢开发节奏,影响产品的交付速度                  [81] .他们追求快速交付和高频率部署,而
                        安全团队期望产品稳定,这常常导致两个团队之间的冲突;
                       第三,软件组织中缺乏 DevSecOps 安全专家.这样的角色在 DevOps 与传统安全之间架起了一座桥梁,
                        专家需要理解组织内部当前的工作流程,也需要了解如何在目前的流程中增加安全方法                                [71] ,还需要比
                        较不同安全方法的优劣并做出最合理的判断.但可惜的是,现在的软件组织中这样的角色很少见.据一
                        份报告指出    [82] :在 DevSecOps 中,熟悉安全的从业人员的数量仍然很少;并指出,2021 年会有 350 万个网
                        络安全职位空缺;
                       第四,缺乏自动化的安全工具,也是另一项重要挑战                 [80] .一部分组织不愿意应用 DevSecOps 的重要原因
                        就是许多安全性监控工具的性能、自动化程度没有跟上 DevSecOps 的要求                     [83] ,这使得它们难以被集成
                        到 DevOps 流水线中.尚未成熟、可视性较差的安全工具也难以帮助安全人员在安全方面做出明智的
                        决策.此外,工具本身是否安全也是另一件需要考虑的事情                   [84] ,在将自动化安全工具集成到 DevSecOps
                        流水线中时,这是无法忽视的重要问题;
                       第五,DevSecOps 解决方案尚未成熟,它还需要更多的实践探索.组织成功转型到 DevSecOps 也可能需
                        要一定的时间,并在短期内也难以看到其巨大优势.在这种情况下,一些小型企业不愿意尝试转向
                        DevSecOps [83] .此外,DevOps 是云的支持者,使用容器是一个普遍现象,这使得安全团队需要有更多的
                        安全方面的考虑.新的安全实践必须适应这种新环境和新技术,并与特定的安全准则保持一致                                [85] .
                 5    未来展望

                    从上述介绍的 DevSecOps 特征和相关实践现状来看,目前对 DevSecOps 的研究和应用还处于起步阶段,仍
                 然有诸多问题亟待解决,也需要进一步的发展和完善.基于本文内容,本节将 DevSecOps 未来可能的研究方向归
                 纳如下.
                    (1)  组织结构和文化转型
                    组织在实际进行 DevSecOps 转型过程中不得不考虑如何调整现有的组织结构、如何进行团队划分、如何
                 接纳安全文化、如何促进团队之间的交流等诸多问题.现有的 DevOps 研究已经在指导组织的转型方面有所进
                 展 [86,87] ,协助组织解决在 DevOps 转型过程中遇到的各种挑战,但 DevSecOps 在这一方面还有所欠缺.尽管部分
                 研究指出了组织在 DevSecOps 转型过程中确实存在管理层对安全文化重视不够、安全责任难以落实等挑战                                [29] ,
                 但是,现有的研究却鲜有在这方面的深入讨论,难以帮助组织科学、合理地完成 DevSecOps 转型,这在一定程度
                 上制约了 DevSecOps 的发展和应用.因此,产生一份科学、合理的解决方案和指导办法,为组织进行 DevSecOps
                 转型提供理论基础,值得研究者们展开更深层次的讨论和探索.