1.3.2 Gartner普适性模型

在DevSecOps发展的过程中，一直有着Gartner频频闪现的身影，甚至在关键时间节点上，Gartner的推波助澜才使得DevSecOps真正发展起来。

Gartner对DevSecOps的贡献主要有两个：一是在业界首先提出了DevSecOps的概念并加以倡导和细化，使之更易于落地；另一个是在DevSecOps架构的基础上提出安全工具链指引模型，从普适性层面解决了大多数企业落地中切入点的难题（这也是为什么称它为普适性模型的原因）。

前文中曾提到，DevOps模型对DevSecOps更偏向于组织保障，缺少从安全视角对研发过程的深入理解。Gartner给出DevSecOps安全工具链的指引恰好弥补了这个缺陷，让广大企业管理者、安全从业人员能从安全的视角，全面地看清安全在DevOps中的实现方式。

1. Gartner安全工具链参考模型

Gartner给出的DevSecOps安全工具链模型如图1-14所示。

在谈及DevSecOps落地的场景时经常会用到此图。从图1-14可以看出，Gartner对DevSecOps有着自己的理解，而不是完成对应DevOps，主要体现在以下几点。

•阶段划分。在介绍DevOps时，曾提及把研发过程划分为8个组成部分。在图1-14中，Gartner把研发过程按照安全的视角一共划分了10个组成部分，并且在开发阶段和运维阶段都添加了安全监控与分析。同时，对每一个组成部分的命名也是从安全视角出发的，如检测（Detect）、响应（Response）。从这一点上说，Gartner认为安全需要融入DevOps流程，但并不完全一致，而是从安全管理的要求出发，将其中的组成部分拆分出更细粒度的组成模块。

•全程贯穿。DevOps模型中对安全能力的引入通常更多的是指安全测试验证，而Gartner在设计此模型时，将安全能力分散到不同的研发活动中去，这与安全左移、责任共担、多边协作的理念是一致的。

•工具支撑。这个模型图中，很大一部分内容被各种安全工具所占据。从另一个侧面也表明，Gartner认可安全工具在整个DevSecOps工作的关键作用。将安全工具对应到DevOps管道和流程上，更易于与既有流程和平台的整合，加速DevSecOps的本地化落地。

2. Gartner推荐的安全工具

在图1-14的模型图中，Gartner推荐了诸多的安全工具。需要读者注意的是，这里的工具不是仅仅指具体的某个软件产品，而是指解决安全问题的方式或手段，类似于项目管理中提及的工具的概念。如果将图1-14按照表格的形式进行呈现，则如表1-1所示。

从表1-1可以看出，Gartner推荐的工具链很多是安全活动实践，在当前市场上，有一部分已被标准化成网络安全产品，有些还停留在人工安全活动实践阶段。它们更多的是想说明在不同的研发阶段采用什么样的实践方式解决当前阶段的安全问题。同时，表1-1也给初次了解DevSecOps的读者提供了一种很好的技术实践指引，知道不同的安全活动或工具适合在研发过程的哪个阶段引入，如何通过安全左移达到安全治理的目的。