随着信息化、数字化时代的到来，软件已经渗透到社会的各个领域，无论在生活上还是在工作上人们都离不开软件的支持，软件的安全性直接关系到每个人的生命和财产安全，成为支撑社会正常运转的基本条件之一。软件供应链安全包含软件生产和运营过程中编码、工具、设备、供应商及最终交付渠道所面临的安全问题，作为软件安全的重要组成部分，已经成为网络空间安全、攻防对抗的焦点，对保障国家重要信息安全、企事业单位稳定运行具有重要意义。

然而企业该如何应对软件开发方式敏态化与软件供应链开源化带来的安全挑战，如何高效且低成本地保障软件供应链安全？子芽在其DevSecOps软件供应链安全领域专业著作《DevSecOps敏捷安全》中创造性提出了DevSecOps敏捷安全体系，并洞察到DevSecOps敏捷安全的起源、演进和广泛应用，标志着保障软件供应链安全开始进入一个全新的时代。

图1《DevSecOps敏捷安全》

云原生时代软件供应链安全趋势

IDC在《IDC TechScape: Worldwide Cloud Security EnablingTechnologies, 2022》报告中，将DevSecOps定义为变革型技术，将重塑市场。DevSecOps之所以被业内专家普便看好并处于快速发展的上升阶段，很大程度上是由于云原生时代，数字化应用自身安全乃至整个软件供应链安全面临复杂多变的风险挑战。

对此，子芽在书中做了总结：现代软件基本是组装的，混源开发也已成为现代应用主要的交付方式，并且云原生时代数字化应用架构由单体向微服务进化、软件开发模式由传统瀑布式开发向DevOps敏态开发模式进化、应用运行环境由传统IT服务器向容器进化，这些正深刻地影响着软件供应链的安全。

整个软件供应链的主要安全风险集中在上游的软件开发环节、中间的软件供应环节和下游的软件使用环节。其中在开发和使用环节进行的研运一体化安全风险治理即DevSecOps，正是软件供应链安全治理和运营的关键之一。

新一代DevSecOps敏捷安全体系

为了覆盖软件全生命周期的数字化应用安全风险，打造安全可信的软件供应链，金融、泛互联网、车联网、智能制造、能源及运营商等各领域的企业组织正积极拥抱DevSecOps并付诸转型实践。基于此，子芽在书中将悬镜安全多年来的前沿技术创新研究和行业应用实践沉淀进行梳理，原创并首次提出实战化DevSecOps敏捷安全架构——DevSecOps敏捷安全体系。

子芽指出，该体系自诞生以来，演进目标和方向就是将安全作为一种将基本内在属性柔和地融入DevOps研发及运营活动，并围绕着安全性要素嵌入一系列DevSecOps相关的实践活动，以推动在组织内形成一个由所有主要IT角色参与、贯穿软件开发全生命周期、高度应用自动化安全技术的敏捷安全体系，帮助企业组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

图2  子芽首次创造性提出DevSecOps敏捷安全体系

子芽在书中构筑整个体系架构，提纲挈领，深度阐述了敏捷安全的三大核心内涵：

1. 实践思想：安全左移，源头风险治理；敏捷右移，安全运营敏捷化；

2. 理念：以人为本，技术驱动；同步规划、同步构建、同步运营；

3. 关键特性：内生自免疫；敏捷自适应；共生自进化。

此外，从文化、流程、技术、度量这四个维度梳理了整个敏捷安全框架，并汇聚了悬镜安全多年来在DevSecOps、软件供应链安全和云原生安全等典型应用场景下的核心技术研究成果，如基于单探针的代码疫苗和新一代积极防御框架。

DevSecOps落地与软件供应链安全保障

如何进行DevSecOps落地，进而保障软件供应链安全？子芽在书中指出DevSecOps实践要想获得成功，离不开以下四大支撑：安全组织和文化、安全流程、安全技术和工具、安全度量和持续改进。他认为企业需要重组安全组织、重塑安全文化，对安全流程进行改造，引入新的安全技术和工具，集成到DevOps流程，并通过安全度量及持续改进（主要包括规范、流程、技术、工具等）优化DevSecOps。只有这些方面同时向前推进，企业建设DevSecOps的成功率才能极大地提升。

为此，子芽在书中给到了真正意义上的企业进行DevSecOps规划设计、建设实践和运营优化的参考和指导，引领大家从文化、流程、技术、度量等四个维度来学习DevSecOps的设计原则和经验总结，并针对如何从0到1到N持续进阶建设DevSecOps给出了全过程指导，同时为还未完全具备DevSecOps实践条件的企业给出了富有建设性的意见。

正所谓“他山之石，可以攻玉”，子芽还在书中详细拆解了国内多个行业头部机构以及Netflix、Salesforce等大型国际组织的DevSecOps落地实践案例，从不同行业的背景、面临的挑战、建设方案及建设特点进行分析，便于企业结合自身安全文化特点、人员能力、技术成熟度等现状去有选择地借鉴。

企业内部一旦形成相对完善的DevSecOps敏捷安全体系，即可着眼于需求分析、研发测试、发布和运营等阶段的全过程风险监控及管理，进而从软件生命周期的源头保障软件供应链安全。子芽在书中明确指出了软件开发生命周期（SDLC）各个阶段的供应链风险面以及通过DevSecOps敏捷安全体系进行治理时的重点和要点。此外，他还具体说明如何在软件产品分发过程中，从软件来源、软件安全合规、软件资产管理、服务支持及安全应急响应等角度进行软件供应链安全管理。

以书为介，共建产业新生态

子芽希望通过《DevSecOps敏捷安全》这样一本DevSecOps软件供应链安全领域的专业书籍，借助书中的理论阐述、体系构筑、技术研究、实践沉淀及技术演进预测，推动更多行业用户、技术爱好人员、专家学者及产业智库，结合自身业务和组织特点，去尝试了解、对比学习甚至着手采纳业内领先的DevSecOps敏捷安全体系及落地实践经验，从源头追踪和治理软件供应链安全风险，为企业组织提供内生安全赋能。同时，他也希望本书不仅能够成为新一代敏捷安全体系建设和软件供应链安全保障的指南，也能鼓励更多不同类型的技术力量与DevSecOps软件供应链安全领域开展新的对话。

值得欣慰的是，《DevSecOps敏捷安全》一经出版上市便登顶京东、当当【新书热卖榜】双榜TOP1，在企业用户、研究机构、安全厂商之间引发了关于DevSecOps软件供应链安全的学习和交流热潮。这对悬镜安全和子芽而言是很小的一步，但对于整个产业生态建设而言是一大步。

《DevSecOps敏捷安全》新书电子版即将发布，敬请期待！