在軟件開發(fā)早期階段引入安全有助于防止缺陷，但過(guò)程中并非毫無(wú)問(wèn)題。

我們?cè)缫殉搅嗽陂_發(fā)工作流中納入安全只是“推薦做法”的階段。當(dāng)今快速創(chuàng)新與開發(fā)周期中，成熟企業(yè)將安全置于每項(xiàng)決策的首要位置。

[[432757]]

隨著開發(fā)團(tuán)隊(duì)越來(lái)越有信心在項(xiàng)目中引入安全，隨著安全人員學(xué)會(huì)在不影響創(chuàng)新的情況下履行職責(zé)，新的關(guān)注重點(diǎn)落在了安全左移上。

“安全左移”指的是將安全程序(代碼審查、分析、測(cè)試等等)移動(dòng)到軟件開發(fā)生命周期(SDLC)早期階段，從而防止缺陷產(chǎn)生和盡早找出漏洞的過(guò)程。通過(guò)在早期階段修復(fù)問(wèn)題，防止其演變?yōu)樾杌ㄙM(fèi)巨資加以修復(fù)的災(zāi)難性漏洞，安全左移可達(dá)到節(jié)省時(shí)間和金錢的目的。

從初始編碼到最終發(fā)布，修復(fù)缺陷的成本可增加640%，所以各位技術(shù)主管都熱衷于安全左移。然而，盡管安全團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)都可受益于安全左移，在實(shí)現(xiàn)這一操作時(shí)仍可能面臨以下挑戰(zhàn)。

安全左移需要成熟的團(tuán)隊(duì)

第一個(gè)挑戰(zhàn)就是該方法需要成熟的團(tuán)隊(duì)。向SDLC引入安全的時(shí)候，成熟度不高的團(tuán)隊(duì)面臨更多困難。這些團(tuán)隊(duì)將需要?jiǎng)?chuàng)建系統(tǒng)性協(xié)作方法來(lái)實(shí)現(xiàn)創(chuàng)新和防護(hù)兩不耽誤。

如果一個(gè)項(xiàng)目沒(méi)有遵循基本的最佳實(shí)踐，比如高測(cè)試覆蓋率和關(guān)鍵洞察，那就無(wú)法在該項(xiàng)目中推廣良好的安全實(shí)踐。實(shí)現(xiàn)安全左移的團(tuán)隊(duì)必須對(duì)過(guò)程中彼此的功能有基本的了解。

開發(fā)人員必須重視風(fēng)險(xiǎn)

另一個(gè)常見挑戰(zhàn)是開發(fā)人員需對(duì)安全風(fēng)險(xiǎn)有切實(shí)的認(rèn)知。盡管安全人員普遍具備這種認(rèn)知，但很多開發(fā)人員還不習(xí)慣在開發(fā)過(guò)程中同步思考安全問(wèn)題。

安全意識(shí)培訓(xùn)和持續(xù)檢查是彌合知識(shí)鴻溝方面至關(guān)重要。安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)必須協(xié)同工作，了解對(duì)方的工作流和最佳實(shí)踐。

OWASP Top 10是開發(fā)人員初涉安全的良好學(xué)習(xí)資源。利用這一資源，開發(fā)人員可了解到行業(yè)面臨的頂級(jí)安全風(fēng)險(xiǎn)和防范這些風(fēng)險(xiǎn)的基本信息。

成長(zhǎng)的煩惱和摩擦很常見

由于左移過(guò)程中開發(fā)人員和安全團(tuán)隊(duì)之間需要更多的交互，企業(yè)必須預(yù)期二者在調(diào)適彼此工作流時(shí)可能會(huì)出現(xiàn)一些摩擦。

開發(fā)人員和安全人員的職能完全不同。開發(fā)人員的主要職能是往項(xiàng)目中引入新的功能，注重創(chuàng)新。另一方面，安全人員則必須注意潛在的漏洞，防止出現(xiàn)可能發(fā)生漏洞利用和攻擊的任何缺口。

安全必須參與到每個(gè)步驟中

為增強(qiáng)有效性，安全團(tuán)隊(duì)需參與到整個(gè)SDLC的每個(gè)階段，搶在潛在風(fēng)險(xiǎn)前面。一種常見的反對(duì)聲音是，安全會(huì)阻礙SDLC和生產(chǎn)力。但是，花在監(jiān)測(cè)這些風(fēng)險(xiǎn)上的時(shí)間最終將可防止成本更加高昂的重大事件發(fā)生。

盡管安全左移可能需要開發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)的一些試錯(cuò)和一點(diǎn)點(diǎn)耐心，但企業(yè)最終將從中受益。借助對(duì)開發(fā)過(guò)程的更多了解，安全團(tuán)隊(duì)將可更好地保護(hù)開發(fā)人員的項(xiàng)目和整個(gè)公司。