1.2.1 DevSecOps发展关键里程碑

DevSecOps最早是Gartner在2012年提出来的概念，当时被称为DevOpsSec，其官网上至今仍保留着当时的议题记录，该页面截图如图1-7所示。

在这次议题分享中，演讲嘉宾第一次旗帜鲜明地呼吁：安全在DevOps流程中的重要性，作为整个流程中不可或缺的一部分，安全应该融入敏捷开发的流程中去。

在Gartner提出此概念3年之后，2015年6月香农利茨（Shannon Lietz）在DevSecOps官网发表文章“What is DevSecOps”，公开阐述DevSecOps的基本概念。在文中，他提及：

随着DevOps、敏捷和公有云服务业务需求的增加，传统安全流程已经制约安全缺陷的消除。大多数安全策略经常被业务领导者否决，并且在发生事件或违规行为时受到质疑。DevSecOps作为一种新型的安全治理模式，有助于加强安全、业务之间的变革与合作。将安全性添加到所有业务流程中，创建一个专门的DevSecOps团队来建立对业务的理解，建设和运营缺陷工具，以持续测试及预测，避免因安全问题给系统带来严重损害。

2016年9月，Gartner发布的“DevSecOps: How to Seamlessly Integrate Security Into DevOps”议题报告，对DevSecOps模型做了更深层次的分析和落地实践指导。在报告中，Gartner解释了为什么名称拼写由DevOpsSec调整为DevSecOps，提出了安全控制代码化自动化、安全运营工具化、贯穿整个生命周期的安全底线管控等理念，并对部分安全工具的选择给出了指导意见。在这份议题报告中，Gartner描述DevSecOps模型图第一次形成。如图1-8所示。

2017年，美国RSAC大会首次开辟了DevSecOps专题，并设置了前置研讨会。这次大会上，明确安全融入现有研发流程、安全需求导入至统一需求管理、安全测试工作与持续集成/部署平台打通等DevSecOps核心实践内容，提出安全左移前置的思想。为DevSecOps的进一步发展奠定了基础，同时也完成了理论到实践的蜕变。

2018年，美国RSAC大会上，参会者提出了“Golden Pipeline”（即黄金管道）的概念，通过一套持续稳定的自动化管道，使得安全进入应用开发的CI/CD软件流水线体系，加快DevSecOps的快速落地。会上，对DevSecOps中的关键安全活动进行了明确，如应用安全测试SAST、第三方组件成分安全分析SCA、运行时应用自我保护RASP等。

2019年，Gartner发布了DevSecOps模型安全工具链，将DevSecOps落地推进到实践运营阶段。同年，在美国RSAC大会上的DevSecOps专题中，与会专家聚焦DevSecOps文化融合与实践效果度量，提出了9个DevSecOps关键实践点和7个DevSecOps文化融合阶段，以帮助企业正确评估安全开发能力和DevSecOps发展状态，为后续持续改进夯实了基础。

至此，DevSecOps在全球范围内正式进入大范围实践和落地阶段。

在实践方面，美国国防部积极推动DevSecOps的落地，发布了一系列的DoD企业DevSecOps实施指南和规范，并深入开展实践。全球知名互联网公网也纷纷参与DevSecOps实践，如谷歌、微软、小米、腾讯等，将DevSecOps的发展推向高潮。

在技术规范方面，美国国家标准与技术研究院（NIST）于2020年正式创建了DevSecOps工作组，编制DevSecOps技术规范，指导各企业开展DevSecOps实践，如图1-9所示。