DevOps和安全的融合是必要而且越加紧迫的一个趋势，具体体现在以下几个方面

趋势1：安全机制越来越早地在软件开发周期中被引入

信息安全往往是所有部分就绪之后进行统一确认的一环，在传统环节中，由于环境的准备，需求讨论，设计，开发，测试整个瀑布流程周期较长，信息安全部署有足够时间准备。但是随着DevOps的落地，节奏的加快，安全往往成为了滞后的一环。
很多组织发现DevOps追求的速度和安全方面存在冲突，而一些组织则宣称，如果安全拖慢了他们的节奏，他们则不能在安全方面顾及那么多了。而更多成熟的DevOps实践方式则着眼于消除那些拖慢节奏的安全问题确认，他们尽量保证速度和安全机制两方面都没有问题，然而，根据调查显示，目前只有一小部分能够做到速度和安全两者同时兼顾。
而一些项目在实践中发现，如果他们尽可能早的引入安全机制的确认，最后的成功率将有很好的提高；同时如果他们尽可能的早的引入安全扫描等工具，则可以加快安全问题确认的速度。当然这个工程不只是引入一个工具和简单的信息安全左移这么简单，但是整体的趋势依然是安全越来越多而且越来越深入的集成到开发的过程之中。

趋势2：会有更多组织开始重视到容器的安全性

在DevOps的实践中，容器的使用变得越来越流行，因为容器使得应用开发变得前所未有的敏捷和灵活，无论是开发还是测试或者bug修正的过程中。容器对于开发者来说就是一个理想的黑盒，终于开发者只需要在意自己的应用程序就好了，把应用程序放到这个盒子里，性能的调整，动态的扩容都变得轻而易举。
而容器的底层，安全性从来都是被遭到忽视的那件事情，比如随手举出两例：

年份	CVE	危害
2014	CVE-2014-0160（Heartbleed）	可以利用此漏洞获取到主机上的敏感内存数据甚至SSL证书私钥
2016	CVE-2016-5195(Dirty COW）	可以通过远程入侵获取低权限用户shell后，然后利用该漏洞在全版本Linux系统上实现本地提权，从而获取服务器root权限。

突然之间一切显得都不在安全从尚未远去的2014的Heartbleed，到尽在昨日的Dirty COW，调查者发现这样的漏洞在容器之中也非常稀松平常。

负责Venafi安全策略与威胁的VP，Kevin Bocek认为对于容器来说，安全意识和措施是刚刚仍然是刚刚起步的阶段：”安全团队理解和意识到容器的问题了麽？还没有。这仍然是一个趋势而且安全团队可能需要数年去解决相关的积累下来的安全问题.”

同时容器安全这个领域目前已经变成了一些初创公司的热点，这是大家乐见其成的一件事情。可以预见到越来越多的DevOps服务提供者会在功能上对容器的安全性做出强化，这已经是一个基本上揭开在眼前了的趋势。

趋势3：安全工具会变得对开发者越来越友好

传统安全工具提供了非常详细的报表，而这些内容往往是提供给信息安全人员用的，而不能直接为开发者所能理解。这份报告中提到了应用程序里面产生了若干个High-level的脆弱性问题，看起来非常重要，但是对开发者来说，因为无法理解，所以根本不能直接起到任何作用。
开发者需要更加具体的信息，比如，这些漏洞对开发者意味着什么?这些被检查出来的关键性的脆弱性问题指示出哪些代码有问题?有什么建议的对应方式？比如，是不是应该升级某个组件到最新版本以保证这个漏洞能够被堵上？是不是应该修正代码以保证不会产生内存越界的访问问题？
新的工具正在和即将不断涌现以改进DevOps团队在对应安全问题上的困境，这些工具对开发者变得越来越友好，使得安全机制的提前融入成为可能，使得安全不再是拖慢节奏的最后一公里。

趋势4：DevOps团队将会将安全团队融入其中

团队之间因为目标的不同和冲突不可避免地带来摩擦，就像Dev和Ops由于各自存在不同的KPI，Dev求快，Ops求稳，一个将油门踩到底，另一个将刹车踏到头，这种冲突在DevOps团队融合的时候是最常见的问题。在与安全团队进行融合的时候同样会发生类似的情况。
DevOps团队希望能够尽快交付最好质量的软件，而安全团队则希望确保软件交付的时候不存在漏洞，花多长时间一般并不是最重要的衡量指标，因为安全问题的补救往往会付出非常大的成本和代价的。培训和沟通在这其中非常重要，一方面使得开发者具有足够的知识避免安全问题，另外一方面对安全团队的成员进行培训使之能够了解开发者的思考角度从而降低双方的摩擦。
旧有的模式已经不再适合，在DevOps的具体落地中，开发者已经别无选择，必须意识到安全问题是这个工程中需要解决的，而在应用开发接近尾声时才开始处理安全问题基本已经来不及了，开发者必须在整个流程开始的时候就同时构建安全机制于其中。
就像Dev和Ops曾经做过的那样，现在的DevOps团队同样需要和安全团队在同理心的基础上相互理解和沟通，尽早引入安全于流程之中，安全团队融入DevOps团队也是趋势之一。

趋势5：自动化在安全机制的融入方面将会更加重要

自动化在DevOps中的安全机制融入方面已经在发挥着重要的作用，而且得到了广泛的关注，但是随着DevOps实践的规模化的扩大，自动化活动也需要扩大一个等级。在一个更大规模和体量的环境中处理安全事务需要更多的自动化。
使用传统的方式，安全团队可能有一个星期的时间或者更长去处理开发团队传递给他们的应用和环境。但是在DevOps实践中，这个时间被极大的压缩了到了一天或者更少。安全团队必须改变传统的这种机制去跟上整体的节奏，而这些只有使用自动化才能达到。

总结

根据卡巴斯基的调查，每一个安全漏洞，大型企业为之直接付出的代价平均高达55万美刀，加上间接代价和损失就更多。了解安全机制在DevOps发展中的整体趋势有助于更好的进行DevOps的落地实践更加安全和顺畅。

参考文献

http://blog.****.net/liumiaocn/article/details/72899528
https://techbeacon.com/5-devops-trends-will-improve-application-security-2017