2012年，Gartner在一份报告中提出DevSecOps的概念，在这份报告中，Gartner提出信息安全专业人士需要更主动融入DevSecOps的实践中，秉承DevSecOps的精神，拥抱“团队协作、敏捷和职责共担的哲学”。基于Gartner的调研，估计少于20%的企业安全架构师参与到Devops的项目中，主动和系统性的将信息安全融入DecOps的项目，更少的组织达到了DevSecOps所需的安全自动化程度。Gartner认为通过采用一种良好实践，安全架构师可以设计一系列可集成的控制措施，优化安全活动，同时并不损害Devops的敏捷和协作精神。安全也从守门人的角色演变到赋能各团队。

但在实际的软件开发中，安全的落实实施也遇到了种种的挑战。

1.    开发运维人员缺少安全技能、意识。

2.    安全专业人员很有限；

3.    第一道方向安全往往在运维的基础机构类职能下，地位不高，很难对等的协同；

4.    开发、运维的堡垒，安全职能难以嵌入到IT生命周期的各个阶段；

5.    开发交付团队，甚至管理层过度强调速度，在速度的平衡中，对安全风险的机会主义风险偏好过大。

6.    漏洞多在上线前一刻被发现，而不是持续在开发的管道，plpeline中被识别-修复成本过高；

7.    安全工具自动化不足或集成程度不高。

8.     大量第三方漏洞，易攻击，排查困难：往往安全漏洞出现在外部，如第三方依赖，中间件，基础操作系统等等，而该类漏洞一经出现，最易攻击;

总的来说，主要是三点：

1.    运维、研发人员，安全意识薄弱，安全技术能力参差不齐，导致在安全测试环节，无法关注漏洞情况；

2.    普遍认为，安全是阻挡开发进度正常上线，导致在后期修复漏洞成本极高；

3.    第三方组件的安全漏洞多，易攻击，难排查。

灵脉AI自动化渗透测试系统解决方案

将安全前置开发，测试环节，保证系统在上线之前，从源头上消除已知的易受攻击组件的使用，将安全操作规范变为自动化脚本执行，对所有的代码和组件进行严格的版本管理，确保系统上线前，消灭掉90%以上的漏洞。

灵脉AI自动化渗透测试系统采用AI自适应安全扫描引擎，全方位支持开发生态链安全，同时支持云到端的应用威胁扫描场景，无论是移动APP的自动化风险评估还是网站后台应用自动化威胁扫描都支持，此外，灵脉还支持交互式多重应用威胁扫描方式，除了支持传统漏洞扫描技术涉及到的主动嗅探扫描外，还创造性发明了基于应用业务流深度学习的AI启发扫描技术，即同时支持主动嗅探和AI启发两种漏洞扫描方式，可以帮助非安全人员快速完成系统的漏洞挖掘，有效解决传统黑客扫描方式中爬虫功能的局限性问题，还可以深度发现新业务系统中存在的各种业务逻辑漏洞，如水平越权、登录接口爆破、批量注册等业务逻辑漏洞。

灵脉产品免费试用地址：https://xcheck.xmirror.cn/

悬镜安全：悬镜AI（北京安普诺信息技术有限公司）由北京大学白帽黑客团队"Xmirror"主导创立。公司力求以人工智能技术赋能信息安全，在公司研发的产品中，深度结合机器学习、红蓝对抗、攻击链模型等技术，为企事业单位提供前沿高效的DevSecOps全流程AI安全管家服务。