经常看到一些安全公司画各种饼，说网络安全就业差距xxx万，听起来这个行业好像是蓝海，

实际上哪家公司雇用这么多安全技术人员？在一线和二线互联网公司，app安全工程师:开发工

程师=1:500应该是一位非常普遍的占比，乃至一些公司会更高，攻防只会是工作中的极少部分

，更多的是柴米油盐。在app的开发效率上，与之前发生了非常大转变 ，商业环境的变幻莫测

，为了支持新的业务，必须不断迅速开发新的app用程序的软件环境也发生了非常大转变 。

 

 

 

简单总结现在面临的困境:app数量、场景快速增加、功能反复周期短，原SDL流程不能融入

新的开发模式，在线发现许多 风险，直到被利用为止都没有感觉到。在小编近年来参与app

安全建设的过程中，有着深刻的感触，往往面对许多 app，有很多风险，有着深刻的无力感

。当出现问题时，其他人总是问或问自己，这种风险的原因是什么？为什么没有事先发现？

以后可以复盖吗？现在也许可以试着回答这个问题。

 

 

我觉得的app安全发展趋向，历经近些年的实践心得，在此讨论如何突破困境。最先，有关

DevSecOps，在其中许多 见解小编都认同，但与很多人的认知不同的是，SOAR、UEBA

等不是执行框架，而是将其视为方法论。在SDL阶段，许多 人在测量app安全建设的完成

度时，会以各个阶段是否复盖为基准，但这显然是假命题，100%的复盖度不存在于现实中。

 

 

小编认为，app安全的发展趋向有三点：

 

1、业务、产品、开发、测试、安全五者之间合作关系的转变 ，每个人都必须对app安全

负责.
 

2、安全风险的发现应融入开发-测试-配置的过程中，在上线前发现风险.
 

3、安全自动化（安全运行可持续化、安全流程自动化、风险感知自动化）。
 

 

仅从这些见解来看，DevSec的一些见解似乎有共同之处，客观事实确实如此，但DevSe

c需要再次强调的是方法和思想，我们可以学习其优点，不能照猫画虎。