昨天，我们和大约800名安全专家一起参加了RSA安全会议上的DevOpsConnect:DevSecOps会议。这个为期一天的活动将数十名安全从业者聚集在一起，分享将安全性集成到DevOps计划中的真实故事、经验教训和最佳实践。演讲者包括CSRA数字服务主管paulathrasher和C9D9的常规专家、CloudBees顾问和DevOps作者johnwillis。我们在Sonatype的朋友和其他几家供应商也有显示。制作这条路阻力最小，这并不奇怪，有许多共同的主题注意：理解通过让开发人员负责保护他们的代码保护管道和代码实现更好的沟通和可视性/可审核性使团队能够识别问题并解决问题，从而从"一开始"就解决问题快速调查数据我们自由地调查了与会者关于他们的DevSecOps之旅，不出所料地发现，安全需要改变左：38%在QA或UAT阶段发现问题，26%在生产中发现问题20%表示需要一周以上的时间来制作审核日志，7%的人根本做不到40%的人说他们没有安全、版本控制或审核友好的管道40%的人说他们需要一周以上的时间才能将新的安全工具添加到管道中，2%的人说他们根本无法添加新的工具30%的人说需要一周以上的时间来识别和修补受损或易受攻击的组件，2%的人说他们根本做不到大多数与会者对他们的管道和实践充满信心。然而，数据清楚地表明，许多团队要成为软件交付过程中的平等成员还有很长的路要走。看看我们的网络研讨会，"你构建它，你保护它"与约翰威利斯和我们自己的安德斯沃尔格伦，他们解释了你可以在DevSecOps中创建"Sec"的方法安静。来了不久就连续Di会话：DevSecOps来自我们的《c9d9视频播客》将于5月1日播出，该视频播客也将专门为DevSecOps制作，包括小组成员约翰·威利斯、保拉·特拉希尔、王晨曦、德里克·E·韦尔斯和艾伦·希梅尔。