随着开源的广泛使用，交互式应用变得越来越常见，但开源组件的安全问题随之增加，企业也开始逐渐意识到开源程序安全的重要性，因此对于软件安全测试的需求开始逐步增多。而新思科技作为一家致力于软件安全的公司，在9月22日的下午，借助行业分析公司Enterprise Strategy Group (ESG)对378名负责IT、网络安全和应用程序开发的专业人员进行的采访和调研，发布了《现代应用程序开发安全》报告，就应用软件开发安全问题展开了沟通，我们也有幸采访到新思科技软件质量与安全部门高级安全架构师杨国梁先生。

API 是现代移动、SaaS 和 Web 应用程序的重要组成部分，由于API 会暴露应用程序逻辑和个人身份信息 (PII) 等敏感数据，API 逐渐成为众多攻击者的目标，保护这些 API 是目前软件开发人员最重要的一个挑战。根据新思科技近期公开的《现代应用程序开发安全》报告显示：目前有92%的受访者在使用或计划部署API安全控制。可以说API防护会是每一个开发人员都需要考虑的问题。

新思科技发布的报告着重说明了安全团队对现代开发和部署实践的了解程度以及需要采取哪些安全控制措施以降低风险。研究发现，将近一半（48%）的调查受访者因时间压力，仍会提交易受攻击的代码。研究还表明，43%的受访者表示DevOps集成对于改善应用安全计划至关重要。

新思科技软件质量与安全部门高级安全架构师杨国梁

对于软件开发公司来说，想要做到尽可能的安全，只有将应用程序安全工具需要贯穿至整个生命周期的每一个环节，深入到应用和基础架构之中，才能将安全与软件深度结合。如果只是将安全问题留到开发流程的最后再考虑，到时候又将会重回冗长开发周期，而这种将安全工具贯穿到软件开发的每一个环节，就是DevSecOps。

由于安全工具已经贯穿到开发周期的每一个环节中，DevSecOps已经成为软件开发工作流程的一部分，DevSecOps的引入可以缩短反馈回路并减少冲突，通过在预设的前端设立防线，研发人员可以优先去选择那些已经接受过扫描的组件库，减少工作量，以尽可能块的确保使用的组件是安全的，进而加快检测和修复问题。

得益于DecSecOps的快速响应能力，DecSecOps会更加适合一些发布周期短的软件行业，例如各种互联网公司，这类企业往往都是数小时甚至数分钟更新一次，由于所有的软件都是实时连线，对软件更新的速度非常高，因此灵活高效的DecSecOps更加适合这类需要频繁更新的企业，而如果是工业控制类软件，速度是其次，保证稳定性才是最为重点。

DevSecOps是将安全集成到整个应用开发周期的过程，是从内到外强化应用，使其能够灵活抵御各种潜在威胁的理想方式，但是高效的DevSecOps防护需要的不仅是一个单纯全新的工具，它更需要整个公司实现 DevOps 的文化变革，而新思科技目前也在快速向DevSecOps迈进，并推动DevSecOps在企业中的发展，以构建更为安全的软件开发环境。