以下是五個提升開發(fā)者DevSecOps體驗的技巧，重點是使安全工具更易用，以解鎖更快發(fā)布更安全產(chǎn)品的能力。

譯自5 Tips for Developer-Friendly DevSecOps，作者 Nick Liffen 是 GitHub 的 GitHub 高級安全主管。他認為“向左轉(zhuǎn)”并不足夠，但在 GitHub 所做的一切都以開發(fā)者為先是推動可行成功的關(guān)鍵。

DevSecOps 將安全放在軟件開發(fā)生命周期（SDLC）的核心，提供了諸如減少風險、降低補救成本（IBM報告指出，采用高度 DevSecOps 的組織可節(jié)省多達168 萬美元）以及更快、更安全的產(chǎn)品發(fā)布等好處。然而，盡管 DevSecOps 的優(yōu)勢很多，開發(fā)者在日常 DevSecOps 實踐中經(jīng)常面臨來自碎片化工具整合和額外責任的挑戰(zhàn)，這使得 SDLC 看起來更加復雜和具有挑戰(zhàn)性。

DevSecOps策略旨在將安全責任分散到團隊，而不是將其孤立，因此確保安全是開發(fā)者體驗的自然組成部分至關(guān)重要，才能充分利用其優(yōu)勢。以下是五個增強開發(fā)者 DevSecOps 體驗的建議，重點是使安全工具更易用，以解鎖更快發(fā)布更安全產(chǎn)品的能力。

1. 將安全性融入現(xiàn)有工作流程中

許多安全工具是為安全專業(yè)人員構(gòu)建的，因此簡單地將它們添加到現(xiàn)有的開發(fā)者工作流程中可能會產(chǎn)生摩擦。當希望將新工具集成到 SDLC 時，考慮從安全工具中提取所需數(shù)據(jù)，并將其原生集成到開發(fā)者的工作流程中—— 或者更好的是，尋找已經(jīng)嵌入到流程中的工具。這樣可以減少上下文切換，并幫助開發(fā)人員更早地檢測和修復漏洞。此外，在集成開發(fā)環(huán)境（IDE）中利用人工智能工具進一步簡化了流程，使開發(fā)人員可以在不離開編碼環(huán)境的情況下處理安全警報。

2. 設(shè)置警報優(yōu)先級

將安全引入開發(fā)過程還意味著糾正警報，但僅要求開發(fā)人員糾正所有安全警報是不現(xiàn)實的。一連串的警報，特別是誤報，可能會削弱開發(fā)人員對工具的信任，影響其生產(chǎn)力。一個良好集成的安全工具應(yīng)該有一個警報系統(tǒng)，直接向開發(fā)者顯示高優(yōu)先級的警報 —— 例如，基于自定義和自動分類規(guī)則的警報設(shè)置、可過濾的代碼掃描警報以及解除警報的能力有助于構(gòu)建更有效的警報系統(tǒng)。這確保開發(fā)人員可以迅速解決緊急的安全問題，而不會被不必要的噪音所淹沒，并有助于最終清理組織的安全債務(wù)（如果隨著時間的推移積累，修復起來可能變得更加困難和昂貴）。

3. 與人工智能和自動化保持友好

嘈雜的警報、系統(tǒng)復雜度增加、資源有限以及威脅迅速演變，使得開發(fā)人員難以跟上漏洞。好消息是，人工智能和自動化可以通過減少誤報、實現(xiàn)一致的安全檢查和擴展安全實踐來提供幫助。人工智能生成的代碼修復和漏洞警報將補救措施整合到開發(fā)人員的工作流程中。此外，人工智能可以增強對開源框架的建模，使漏洞檢測更加準確。自動化功能，包括分支保護規(guī)則和狀態(tài)檢查，進一步賦予開發(fā)人員主動解決安全問題的能力。

4. 讓開發(fā)人員參與安全決策

為了確保工程團隊和安全團隊之間的順暢合作，將開發(fā)人員納入安全流程和政策決策的制定過程至關(guān)重要。在實施新工具或更改政策之前，從開發(fā)者的角度尋求反饋至關(guān)重要。詢問有關(guān)當前安全實踐的有效性、工具對工作流程的影響以及工具或?qū)嵺`的建議，可以提供改進的見解。這種協(xié)作方式培育了更加面向開發(fā)者的安全環(huán)境。

5.圍繞安全編碼設(shè)定明確的期望

DevSecOps 不應(yīng)只是引入更多工具，而應(yīng)該是確立清晰的期望和有效使用現(xiàn)有工具的過程。對政策和安全編碼實踐的清晰溝通確保了在整個 SDLC 過程中對安全的一致性處理。組織應(yīng)該創(chuàng)建安全編碼標準，然后選擇倡導者來清晰地在團隊之間傳達政策。這種方法消除了模糊性，增強了開發(fā)人員對安全的意識，并在整個組織中培養(yǎng)了 DevSecOps 文化。

隨著開發(fā)人員在 DevSecOps 模式下承擔更多的安全責任，改善他們的用戶體驗變得至關(guān)重要。投資于理解和解決開發(fā)人員的痛點的組織將收獲工程和安全團隊之間增強的合作關(guān)系，從而實現(xiàn)安全代碼的快速交付。通過賦予開發(fā)人員作為第一道防線的權(quán)力，企業(yè)可以充分發(fā)揮 DevSecOps 的優(yōu)勢。