主要观点：DevOps 中的安全实践已成为主要关注点，催生了 DevSecOps 运动，强调“将安全左移”到软件开发周期中。
关键信息：

• 传统安全管理在软件开发后期实施无效，Security as Code（SaC）可将安全融入开发各阶段。
• SaC 包括自动化和左移安全等关键内容，对 DevOps 很重要，能带来多种好处，如提前检测威胁、提高效率等。
• SaC 的主要方面有访问控制与策略管理、安全测试和漏洞扫描。
• 实施 SaC 的最佳实践包括持续安全、左移安全、持续监控与反馈、实施最小特权访问、教育团队和备份等。
  重要细节：
• 自动化可提高安全检测效率，如将 SAST 和 DAST 工具自动化。
• 从项目开始明确安全措施并提供工具可创建安全代码。
• 实时监控能及时发现威胁并通知相关团队。
• 实施 RBAC 基于工作角色分配权限，审计评估保证符合最小特权原则。
• 团队培训有助于理解安全程序和编码方法。
• 备份可确保在灾难时不丢失数据和保证业务连续性，备份软件应具备多种功能。