随着业务更新迭代的加快，客户系统软件的数量增加，大多数公司往往由于安全资源有限而忽略了信息系统开发生命周期中的安全活动，或者只在运营阶段进行安全活动，导致很多难以解决的问题:

安全问题长期暴露。大多数公司信息安全人员更多的工作是处理信息系统运行时的安全问题，属于事后安全问题。在信息系统建设之初未能实施相关的安全活动，使得安全问题得到更早的解决。安全活动滞后，增加了信息系统安全问题的暴露时间。

安全问题整改成本高。

目前，企业安全人员通常在系统软件在线或运行时开始干预安全活动，并在这一阶段发现安全问题。由于大多数漏洞是在运行前或运行过程中发现的，因此安全问题的数量往往很大，而现阶段安全问题的整改需要重新安排人力和时间，这增加了安全问题整改的成本，影响了信息系统在线的进度。

安全活动没有重点。公司中信息资产较多，安全工具自动化程度不足或集成度不高，信息安全人员沉浸在资产的日常安全维护中，使得信息安全人员处于非常被动的状态。安全活动实施无计划、无重点、无系统，实施效果不理想。

保安人员无法应付。

公司的专职安全人员非常有限，他们在安全方面的人力投入无法与互联网公司相比，但他们面临着与互联网公司相同的安全风险。此外，由于行业监管要求高，安全人员往往被许多风险淹没。很难平衡“速度”和风险。开发和交付团队，甚至管理层，都过分强调“速度”。随着发布速度和频率的不断提高，传统的应用安全团队已经跟不上发布的步伐，无法保证每个发布都是安全的。为了解决这个问题，公司需要在开发过程的每个阶段不断构建安全性，以便DevOps团队能够快速、高质量地交付安全的应用。安全越早引入工作流，安全缺陷和漏洞就能越早发现和补救。这个概念是“shiftleft”的一部分，它将安全测试转移给功能测试人员甚至开发人员，这样他们就可以几乎实时地修复代码中的安全问题。借助DevSecOps，公司还可以将安全性无缝融合到其现有的持续集成和持续交付(CI/CD)实践中。