在DevSecOps实施方案中，过去的sDLC实施方案将被遗弃，安全和开发不再是两个完全隔离的环节，安全能力被嵌入到开发的整个生命周期中，这种能力会逐渐左移。在此期间，APP安全测试将更加多样化。在以DevSecOps方法为引导的新一代应用程序开发环节中，APP安全测试不再仅仅依靠过去的黑盒测试和白盒测试，安全测试方法将更加多样化。交互式灰盒测试(iast)将逐渐流行起来，成为提高漏洞检测率和降低漏洞误报率的重要环节。

安全能力的渗透范围将扩大。在过去的sDLC中，安全能力只关注编码阶段的白盒检测和测试阶段的黑盒检测。虽然大部分安全问题都是在这两个环节发现的，但是从软件安全修复成本的角度来看，并不是一个好的解决方案。如果在安全需求分析阶段能够尽可能考虑所有的安全风险，并给出相应的威胁模型和解决方案，那么后续软件修复的成本将会大大降低。在DevSeFeps中，安全能力的渗透主要表现在安全需求讨论阶段的威胁建模和分析，安全编码阶段的组件检测服务和代码检测服务，安全测试阶段的多样化安全测试方法(白盒、黑盒、灰盒)，以及APP上线后持续的安全风险监控。

自动化势在必行。许多公司的安全部门都有许多自己开发或购买的APP检测服务产品，但这些产品通常是分布式的，由相应的安全人员处理。未来，sDLC将逐步走向自动化，安全检测工具将不再分散，而是集中管理，统一安排在一个平台上，检测服务将趋向于更加自动化。

安全联动使1+1>2。所谓安全联动，就是每个环节的安全能力不再只对这个环节负责，而是通过能力反馈和激励的方式影响上下游环节。在回顾过去一年里，理想的汽车安全部门DevSecOps集团也在DevSecOps上做了许多实践。作为DevSecops系列文章的开始，这里我将简要介绍一下我们在静态白盒检测方面所做的许多事情.