1.3　互联网行业推动DevSecOps的动机与目标

随着互联网对人类生活方式的不断改变，这个行业的竞争压力在不断加大，甚至成为竞争压力最大的行业之一。传统IT业的研发模式越来越笨拙和沉重，逐渐成为竞争中的最大阻力。如前文所述，最早和最知名的DevOps实践就是从Flickr等小公司发起的，并且逐渐获得了越来越多的关注，特别是在美国硅谷，DevOps是典型开发人员角度导向，深刻影响了整个产品设计和开发过程，让小公司可以通过更高的效能来打败反应迟钝的大型公司，继而获得成长的可能性。

从安全角度来说，与金融证券等重监管、重安全流程管理的公司有所不同，互联网公司从创始人到员工，整个组织风格和习惯可能会更加“涣散”一些。它们推崇创意为先，以及高效和灵活的工作方法和方式，特别不喜欢被烦琐的流程和管理制度束缚，以期望达到更佳的创造效率。在这个过程中客观上也导致了大部分互联网公司对安全的重视度不足，往往是出现了重大安全事件之后才下定决心增加安全投入，提升安全管控能力。这种案例很多，国外的比如谷歌、Facebook、Twitter，国内的如腾讯、阿里乃至新兴的头条、拼多多等。另外这些互联网公司也确实难以实施严格的安全管控流程，比如某家互联网公司突然要求员工的电脑不允许上外网，不允许使用U盘，想想这会导致多少埋怨，甚至会造成离职率升高。

DevOps致力于提升整个研发效能，使想法和代码可以更多、更快地变成交付产品，周而复始地从中获得竞争优势。对于从瀑布式或敏捷式传统研发模式转向这种新型研发模式的众多互联网公司来说，DevSecOps可能是一种最佳平衡方案：既不需要像传统行业那样，通过增设成本巨大的管理流程和人力资源来保障安全工作，也不需要像以前很多公司在业务上“飞奔”、在安全上“裸奔”，直到出现严重安全事件才痛心疾首。将安全融入DevOps中，在建设完成之后，通过维持研发人员可接受的成本和习惯，既能够提升研发效能，更快推出产品和优化产品体验，又能提升安全质量，使自己以最低的综合成本获得最高的市场竞争力。