对于许多组织来说，成功地将安全性集成到软件交付生命周期中仍然是一个巨大的障碍Puppet最新发布的2019年DevOps状态报告显示，处于最高安全整合水平的公司中，只有22%达到了DevOps成熟度的高级阶段虽然市场上有无数的安全实践和解决方案，但为什么将安全性集成到软件开发中如此困难？我们将回顾一下今年报告中的一些重要收获创新与安全是一种错误的二元对立功能交付不需要与保护客户数据相冲突。虽然短期收益可以通过优先考虑特性交付速度而非安全性来实现，但对业务的长期影响可能是相当有害和无法估量的在非生产环境中，随着数据实例和内部用户数量的增加，安全性和法规遵从性方面的挑战也随之增大。在一个公司利用数据和软件为其业务提供动力的世界里，绝大多数数据泄露都是在用于测试的数据从生产中拷贝出来时发生的。在这种情况下，像数据屏蔽这样的方法可以通过将数据混淆为匿名的值来保护数据，但这些值保留了引用完整性，从而执行有意义的软件测试并获得更聪明的见解保护非生产系统和生产系统中的所有软件环境可以首先阻止组织中的任何人访问和暴露个人数据要站在当今数字时代的前沿，IT领导者必须在其创新工作流程中设计安全性，以保护敏感数据免受外部和内部威胁左移是不够的好的软件开发原则可以带来良好的安全效果。提高安全性不仅仅是将实践转移到软件生命周期的早期阶段，而是采用一种新的工作方式，强调跨团队协作和自动化，以实现更简单和迭代的实现采用DevOps原则可以提高企业应用程序部署中的可靠性、可预测性、可测量性和可观察性，进而导致更安全的环境。虽然预测风险和威胁并不总是那么容易，但是能够在软件开发生命周期中采用高效可靠的安全实践可以帮助公司更有效地识别和应对威胁。调查结果还发现，在软件交付生命周期中集成了最高安全级别的公司中，82%的公司表示这显著改善了他们的安全状况。这些公司获得了三重好处：公司经历了更高的部署频率，61%的完全安全集成的组织表示，他们可以按需部署到生产中，这一比例明显高于集成度较低的公司在更高级别的安全集成中，修复漏洞的时间缩短了最后，安全集成程度更高的公司更有能力停止生产以解决安全问题。随着越来越多的组织采用敏捷开发实践，他们也认识到在他们的交付管道中需要快速的数据交付。像贝尔金国际（Belkin International）这样的跨国公司已经转向DataOps，这是一种专注于端到端数据交付的实践。与DevOps类似，DataOps以数据的战略使用为中心，在当今每个公司都在成为一家数据公司的今天，数据管理与软件开发一样对企业至关重要改变从来都不容易将安全性集成到软件交付中既困难又混乱。大多数人认为安全是导致延迟和挫折的瓶颈。部署特性的压力通常会导致妥协，从而给业务带来风险，开发团队可能会决定发布一个存在未解决的安全问题的产品，这会使代码暴露于漏洞培养围绕安全问题分担责任的文化至关重要。当组织在开发人员、测试人员和操作人员之间建立高度信任的环境、自动化和跨功能协作的和谐时，公司就可以在其DevOps过程中走向成熟，并交付能够将风险敞口降至最低的应用程序最后的想法认真提高安全性的公司需要采用DevOps和更好的数据管理实践，如DataOps，将安全性集成到软件交付生命周期的每个部分。在一个数据泄露可以摧毁一个企业的世界里，只有那些准备好并保持警惕的企业才能生存下来。