2026/03/15

「在沒有全員對 DevSecOps 安全文化理念認同的情況下，DevSecOps 工作難以開展。」——《DevSecOps 原理、核心技术与实战》（本書為簡體中文作者出版書籍，引用內文則經過轉譯為正體中文。）

在舊時代的軟體開發流程中，Security 通常只是一道最終關卡，在軟體交付的最後一刻才會進行的安全檢查。

而在這個 DevSecOps 的觀念已被普遍認知的時代，從需求規劃、程式開發、測試、部署，到維運，都必須要注重 Security。

DevSecOps 意味著 Security 工具不只是內嵌在 Pipeline 之中；Security 工具更像是防護罩一樣包覆著整個軟體開發交付流程。

然而老樣子，工具整合只是 DevSecOps 的表象，實踐 DevSecOps 困難的地方，依然在於人。

Dev、Ops、Sec 三種角色，過去以來各有各的語言、各有各的優先順序，彼此之間的隔閡堪比海溝還要深。（咦）

因此就如本日金句所述，DevSecOps 需要全員對於 Security 有著相同的理解與共識。

而這樣的共識，無法靠著採購及安裝工具獲得，它需要團隊刻意透過文化、協作及日常溝通中，一點一滴地累積。