安全文化的构建是DevSecOps实施过程中最核心的内容，同时安全文化的培养和成熟也是最难的， 因此为了形成DevSecOps文化，必然要从培养Sec相关的行为开始，通过行为的改变，驱动文化的发展和成熟。安全的行为和实践有很多，怎样做才能做到“牵一发而动全身”，达到“事半功倍”的效果呢？

我们化繁为简，可从以下几个方面的行为进行推进：

• “顺水推舟”，DevOps强调的是团队之间的密切配合以及全过程的流水线和自动化，强调的是速度和及时反馈，那么对Security的舟来说，我们也应该让它乘上DevOps的水，顺水行舟，减少团队对Security的担心，害怕甚至是恐惧。尽量弱化对安全流程的概念，强调安全行为的执行，通过安全流水线的嵌套，让大家对安全尽量“无感”，赋能团队所有的工程师，让大家本身成为承载安全的水的一部分，安全的核心是人，而不是流程，也不是工具。

 

• 导入威胁建模(threat modeling)活动, 威胁建模，就是在设计阶段，主动地采取措施，将潜在的安全问题解决在萌芽状态的一种安全实践。 相对于传统的瀑布开发模式，设计这个活动在敏捷的工作环境里面是在弱化的，敏捷还是更多的关注能运行的代码，这个本身也是没有问题的，在快速迭代，快发交付的环境中，也将安全设计融入开发过程中，避免代码开发后期被无穷尽的安全问题消耗时间，将威胁建模的活动，内化在每个工程师的决策过程。

 

• 代码安全评审，这个活动是个很传统，同时也很有效果的安全实践，在培养工程师开发实践以及宣传安全知识方面是非常有价值的活动， 团队可以识别一些Security Champion 角色，通过这些角色去导入安全实践，改善团队的安全知识和技能，逐渐形成团队的安全文化。在这个过程中，对代码进行分级，采用自动化扫描和人工评审的办法结合，通过工具识别简单问题，提高代码扫描的覆盖率，人工的代码评审可以在核心的业务模块，或者针对刚加入团队的工程师。

 

• 红队测试，模拟黑客的攻击行为，在尽可能接近实际的场景下，模拟黑客活动，找出代码的安全漏洞，对这些漏洞进行分析归纳总结，将所得反哺到设计活动中去，多次反复，可改善团队的安全文化和安全习惯。在这个过程中，红队也可以逐步将使用的一些工具，进行脚本处理，使得其能自动运行，嵌套到整个DevSecOps的流水线之中，使得通过自动运行识别一些基本的，简单的问题。

传统的安全管理更多的是强调对流程的遵从，在强调流程的环境中，大家更多的是关注是否满足流程要求，是否合规，是否通过，往往造成比较肤浅的安全参与， 表面合规，实际并没有解决安全漏洞。 在DevOps 以及敏捷环境中，我们更多的是强调行为本身，希望能通过不断的安全教育，然后快速地将这些安全活动导入到真实的开发环境中去，通过实际的操作练习，不断的强化安全的意识，进而改进安全行为，最终形成良性的安全文化。