［翻译］研究：一半的企业已经实现 DevSecOps

将IT安全集成到DevOps的流程中，这就是我们所说的DevSecOps,现在已经在加速发展阶段。一个由 DigCert,一家身份管理和加密软件的供应商，发布了一份关于300个IT企业机构的调查，发现

将IT安全集成到DevOps的流程中，这就是我们所说的DevSecOps,现在已经在加速发展阶段。一个由 DigCert,一家身份管理和加密软件的供应商，发布了一份关于300个IT企业机构的调查，发现将近半数(49%)的受访者说他们已经完成了DevSecOps,同时49%的人说他们已经正在进行中。

就整体而言，只有22%的说他们就取得和维护高水平的信息安全做得很好。

另外，那些已经完成了DevSecOps的公司说大概花费了它们12到14月的时间去进行这个转变。那些还没完成整个转变的，预估会花费7到11个月的时间来完成整个转变。根据那些已经完成整个转变的机构的经验，人们有自然的倾向低估了文化的差异对开发和IT安全团队集成目标的负面影响。

Jason Sabin，DigCert主要的安全人员说，尽管很多组织可以将IT安全专业人士带到流程中，但是整体安全应用的构建的增长依然需要更多的时间和耐心。

Digcert推荐IT组织在一个DevOps流程中认定一个IT安全冠军，然后尽可能地自动化安全控制的实施。这些措施可以帮助降低开发人员对于要花费时间在它们认为是平凡问题上的文化抵触。

值得注意的是，大多数的IT安全人员在编程方面并没有太多的经验。

他们可以使用任意数量拥有控制台的平台来保护应用。但是，理解如何在一个应用部署之前，去应用APIs来帮助添堵安全漏洞就超出了大多数IT安全人员的能力。IT安全人员可以帮助开发者意识到问题，但是一般来说，修补应用的时候，他们能做的并不是那么多。

同样的，此外，IT安全专业人员通常不了解解决问题所需的编码量，因此他们无法评估一个特定漏洞的真正风险。所有的漏洞都应该被同等对待，无论这个漏洞已经利用了多少个实例。
好消息就是，达到88%的受访者说从某种程度上来说集成安全到DevOps中是非常重要的。不能做到这样会导致问题，例如增加损失(78%),降低应用交付(73%),和增加安全风险(71%)。意识到这些问题最终会更导致安全的开发和部署。

这个问题，当然，不是所有的开发团队的代码成熟度都是相同的。不幸的是，在生产环境中运行的应用程序的优势－能够抵御最基本的网络安全攻击.可能是数年前的事了。