DevSecOps 的工作方法正被淘汰

作者：让天下没有难做的安全 | 发布时间：2025年7月18日 12:01

原文链接：微信公众号

声明：本文未使用任何 AI 生成技术。

虽然 DevSecOps 在过去将安全工具嵌入研发能降低漏洞，但随着近年安全基建的完善 和 AI 冲击，DevSecOps 和安全左移的概念再不更新就会被淘汰。

基础安全行业近年来都没有做出新的亮点，为什么还没人怀疑到具体指导工作的框架？

1、DevSecOps 完全是基于过程的建设，并不是结果价值驱动。

2、漏洞在降低，但开发与安全团队目标割裂的文化仍普遍存在，互相妥协。

3、Cursor等DevOps工具链，模糊了需求、研发阶段，没有给 Sec 介入的空间

4、举个例子，智能体的开发流程和漏洞类型，DevSecOps 覆盖有限

5、DevSecOps重心还停留在交付设计更安全的软件，黑客在攻击交付前、数据安全、SaaS、身份、多云和 AI 安全。

6、行业内落地安全左移的效果乏善可陈，一眼看穿，不是人的问题那就是工作思路的问题。

7、漏洞发现更早，修复成本更低是谎言，不适用现代的技术栈：左移增加了研发阶段投入，但没有量化数据证明可以减少Ops阶段的安全运营投入，总体成本是高的。

这个问题值得思考，怎么解决呢？

一些基本的安全原则不能放弃：安全设计、最小权限、自动化、量化投资。

安全的目标不是建设更完美的过程，而是更少的可被利用缺陷。

打破上下文，关联发现真实的有价值风险，通过 AI 来降本提效是个方向。