為什麼建議將安全性構建到系統中?

開發人員可能面臨著來自自己的“無聲殺手”：拖延。當在開發過程中將安全性推遲到軟體開發過程後期時，這個延遲可能會造成意想不到的影響和巨大代價。

隨著當前對應用程式需求的增加，開發團隊更關注於軟體上線日期。然而與此矛盾的是，安全問題同樣不可小覷。客戶希望獲得的軟體系統是安全的，但在上線截至時間面前，安全往往會被滯後。

經驗顯示，如果在開發過程中更早地關注安全性問題，不但可以提高安全性，而且成本更低修復更容易。

就程式碼安全問題來說，在測試、釋出階段糾正缺陷的成本是編碼階段發現並糾正缺陷的成本的15-90倍，如果在交付使用者之後才發現並解決缺陷，這個數字將達到50-200倍。因此，在編碼實現階段發現並解決儘可能多的缺陷，能夠極大降低缺陷管理成本，據相關統計數字估計，這個成本至少可以降低1/3。

“在內部構建安全性”vs“將安全性綁 在上面”

如果說這兩者的區別，前者是安全是開發過程的一部分，而後者是在以後才將安全問題考慮進來。與其將安全性推遲到以後，不如將其作為開發過程的核心部分。當將安全性注入到每個開發決策中來，整個工作安全相關的成本也會降至更低。

從費用上來說，通過對比安全評估資料，“內建安全”比“附加安全”在諮詢費用上平均花費少10.1%。然而，重點並非只是節省這10.1%的花費，在引入缺陷的那一刻修復它是最容易的，以後修復它的難度呈指數級增長。例如，在設計階段引入的缺陷直到部署後才得到解決，這將需要付出更多的努力來修復。而資料顯示這需要25倍的努力。

所以，當開發團隊做得越早安全性就越好，這也將花費你更少的費用和更少的努力。

讓安全成為開發過程的一部分

當在開發初期就建立安全性時，更有助於將時間精力和經濟浪費轉化為效率。通常， 靜態程式碼安全檢測工具(SAST)、動態分析安全測試(DAST)、互動式分析安全測試(IAST) 和執行時應用程式安全保護 (RASP) 等在開發期間可以協助開發人員提高效率，開發團隊可以最大限度地提高生產力，在引入安全漏洞時快速解決它們，甚至完全避免引入漏洞。

參讀連結：

https://resources.infosecinstitute.com/topic/why-you-should-build-security-into-your-system-rather-than-bolt-it-on/