在软件开发的早期阶段引入安全有助于防止缺陷,但过程并非没有问题。
我们已经超越了将安全纳入开发工作流程,只是“推荐做法”阶段。在当今快速创新和发展周期中,成熟企业将安全放在每一项决策的首位。
随着开发团队越来越有信心在项目中引入安全,随着安全人员学会在不影响创新的情况下履行职责,新的重点是安全左移。
“安全左移”是指将安全程序(代码审查、分析、测试等)移动到软件开发的生命周期(SDLC)在早期阶段,以防止缺陷和尽快发现漏洞的过程。通过在早期阶段修复问题,防止它们演变成灾难性的漏洞,需要花费大量的资金来修复,安全左转可以节省时间和金钱。
从初始编码到最终发布,修复缺陷的成本可以增加640%,因此所有技术总监都热衷于安全左移。然而,尽管安全团队和开发团队都受益于安全左移,但在实现此操作时仍可能面临以下挑战。
安全左移需要成熟的团队
第一个挑战是这种方法需要一个成熟的团队。SDLC在引入安全性时,低成熟度的团队面临着更多的困难。这些团队将需要创建系统的合作方法来实现创新和保护。
如果一个项目不遵循基本的最佳实践,如高测试覆盖率和关键洞察力,就不能在项目中推广良好的安全实践。实现安全左转的团队必须对彼此的功能有基本的了解。
开发人员必须重视风险
另一个常见挑战是开发人员需对安全风险有切实的认知。尽管安全人员普遍具备这种认知,但很多开发人员还不习惯在开发过程中同步思考安全问题。
安全意识培训和持续检查是弥合知识差距的关键。安全团队必须与开发团队合作,了解彼此的工作流程和最佳实践。
OWASP Top 10是开发人员第一次参与安全的良好学习资源。利用这些资源,开发人员可以了解行业面临的顶级安全风险和预防这些风险的基本信息。
成长的烦恼和摩擦很常见
由于开发人员和安全团队在左转过程中需要更多的互动,企业必须预计两者在调整工作流时可能会有一些摩擦。
开发人员和安全人员的功能完全不同。开发人员的主要功能是将新功能引入项目,注重创新。另一方面,安全人员必须注意潜在的漏洞,以防止任何可能的漏洞使用和攻击。
安全必须参与每一步
为了提高效率,安全团队需要参与整个过程SDLC在潜在风险面前的每个阶段。常见的反对声音是安全会阻碍SDLC还有生产力。然而,花时间监测这些风险最终会防止更昂贵的重大事件。
尽管安全左移可能需要开发团队和安全团队的一些试错和一点点耐心,但企业最终将从中受益。借助对开发过程的更多了解,安全团队将可更好地保护开发人员的项目和整个公司。