開發人員何時能與安全團隊達成共識?將安全流程左轉移面臨的挑戰

開發人員意識到編碼的重要性有多必要?

在測試、釋出階段糾正缺陷的成本是編碼階段發現並糾正缺陷的成本的15-90 倍，如果在交付使用者之後才發現並解決缺陷，這個數字將達到 50-200 倍。

因此，在編碼實現階段發現並解決儘可能多的缺陷，能夠極大降低缺陷管理成本，據相關統計數字估計，這個成本至少可以降低 1/3。

最近備受矚目的供應鏈攻擊增加了對開源社群加強監管的必要性。例如在美國，拜登總統最近的行政命令要求政府供應商“在可行的範圍內證明產品任何部分中使用的開源軟體的完整性和出處”。

該指令的挑戰在於，近60%的軟體開發人員幾乎沒有接受過安全編碼培訓。開發人員傳統上專注於推出創新的、穩定的產品，而不是對安全警報進行分類。

他們通常更願意享受開原始碼帶來的便利性，而不是擔心其中的風險。開發人員依賴開源元件，因為這些是現成的程式碼片段，可以幫助他們提高開發效率跟上軟體產品的釋出時間。他們經常讓他們的安全團隊在開發過程的最後再來發現軟體中的問題。

開發人員與安全團隊

開發人員對開源元件的依賴往往對安全團隊的謹慎態度構成挑戰。

根據最近一項研究，只有31%的組織報告在開發人員和安全專業人員之間就漏洞修復的優先順序流程達成一致。許多軟體公司甚至為開發和安全團隊制定了單獨的指導方針。由於團隊之間的脫節，安全專業人員經常購買忽視開發人員需求和流程的應用程式安全工具。

開發人員和安全專業人士在這一問題上都表示很有壓力，為了完成開發流程不得不在安全措施上“打勾”，但關注安全問題意味著會降低開發速度，而企業更多會選擇犧牲安全性來加快開發速度，這為黑客利用開原始碼中的安全漏洞開啟了大門。

左移有助於縮小差距

左移的做法有助於彌合開發人員和安全專業人士之間的鴻溝;它將安全測試和漏洞管理移至開發的最早階段。

在左移模型中，所有測試、反饋和修訂都在整個開發過程中持續執行。這可以幫助企業及早識別其應用程式中的安全風險，以免它們變得更復雜、更耗時且修復起來更昂貴。

如何實施左移?

為了確保有效實施左移實踐，開發人員需要程式碼安全檢測工具和流程的支援，使他們能夠在建立時不必放慢安全合規性。

目前，在很多企業中由不同工具如 靜態程式碼檢測工具、SCA、DAST等構建的左移模型，但關於開原始碼使用的新法規可能為企業引入過多的規則和責任來檢測漏洞。

應用程式安全工具可以幫助開發和安全團隊在開發早期解決安全性和開源許可證合規性問題。包括一些自研程式碼中的安全問題也可以通過程式碼安全檢測工具進行檢測其安全性。

參讀連結：

https://www.helpnetsecurity.com/2021/10/28/regulation-fatigue/