虽然您的团队已经接受了 DevOps 方法，并且已经准备好将安全左移，以便安全更接近开发人员；但是改变还是很不容易，特别是改变长期以来对安全的信念和偏见，这需要计划、耐心和坚持。 

这里的 DevSecOps 安全检查清单，可以帮助你的团队。

1.了解挑战：

我们的 2020 年全球 DevSecOps 调查显示，开发人员和安全团队之间的鸿沟仍然很大，而且充满了指责。超过 42%的受访者表示，安全测试在生命周期中进行得太晚，超过 60%的开发人员不运行基本的静态应用程序安全测试（SAST）扫描。对于谁真正负责安全问题，甚至还没有达成一致：33%的安全专家说他们负责，但 29%的人说每个人都负责。反正混乱无处不在。

2.解释目标：

在对安全和所有权有如此多不同的假设的情况下，向团队提供明确的目标将可以完成一些切实可行的工作。一个成功的 DevSecOps 实践将意味着更多的代码得到测试，一旦事情进展顺利，这将转化为更快的版本。DevSecOps 还可以改进规划：从一开始就引入安全白帽子将意味着安全涉及到流程的每一个步骤，减少摩擦并最终加快发布周期。最后，DevSecOps 将通过创建一种“安全是每个人的责任”的文化来提高责任感，即使在非安全团队成员中也是如此

3.度量：

这有助于理解在代码合并后团队浪费多少时间来处理漏洞。接下来，总结这些漏洞的类型或来源，并进行调整以改进。

4. 找出摩擦点：

让大家聚在一起，坦率地讨论开发与安全之间的痛点和瓶颈。一旦所有问题都解决了，创建一个计划来解决它们，然后执行该计划。

5. 咬一口：

在 GitLab，迭代是我们的核心价值之一，所以当我们进行更改时，我们会进行微小的、快速的更改，然后在这些更改的基础上进行构建。当从 DevOps 转换到 DevSecOps 时，同样的原则也是可行的：进行增量代码更改。较小的更新更容易审查和保护，并且比单一的项目更改启动得更快。

6.自动化和集成：

这是 DevOps 的关键，但自动化和集成也是使安全扫描成为强大工具的原因。如果扫描无处不在，每一个代码更改都会被审查，漏洞也会更早地被发现。扫描必须内置到开发人员的工作流程中。集成的安全性使开发人员能够在代码离开他们的手之前发现并修复漏洞。这也减少了发送给安全团队的漏洞数量，简化了他们的审查。

7.分享结果：

让开发者获得 SAST 和 DAST 报告。这不仅对于修复非常重要，而且也是一个能够帮助开发人员构建安全编码实践的有价值的工具。

8.进行状态检查：

如果您的 SDLC 中有任何瀑布式的</>安全过程，这是消除或至少大大减少您对它们的依赖的机会。你应该总是能够根据需要改变方向：保持你的组织灵活。

9. 增强安全团队的能力：

使安全团队能够了解已解决和未解决的漏洞、漏洞所在的位置、产生漏洞的人员以及漏洞的修复状态。

10. 简化工具：

DevOps 平台提供了一套集成的工具，使团队能够学习单一的界面，依赖于单一的事实来源，并简化了自动化、集成、监控和数据交付。

原文：https://about.gitlab.com/topics/application-security/devsecops-security-checklist.index.html