如何提高SDLC中的左移安全性?

對於多數開發人員來說，日常關注的並不是應用程式或軟體的安全問題。尤其關於強制性的網路釣魚培訓、網路層防禦等更是阻礙按時交付開發要求的障礙。然而，從安全形度來說，開發人員每天接觸的程式碼中存在的缺陷，可能引起嚴重的安全問題。

關注安全問題需要從開發人員做起，當建立應用程式時，開發人員一方面要關注開發程式，另一方面就是安全。

安全左移

對於開發人員來說，開發成功的標準一般是什麼?

• 功能化業務需求;

• 在最後期限內按時完成。

瞭解了這些標準，我們如何加入安全並不對它們產生負面影響?

答案是：左移安全性。

儘可能早的在軟體開發生命週期(SDLC)中應用安全性檢測，當在SDLC的開發階段發現程式碼缺陷時，此時並非每個缺陷都是安全漏洞。然而當這些缺陷被惡意分子加以利用時，修復這些缺陷所需的時間、精力和金錢比在開發時發現要多得多。

現在有很多出色的 靜態應用程式安全測試 (SAST) 解決方案可以在開發人員編碼時分析程式碼並實時提供補救措施。除了可以在IDE中使用，也能將SAST整合到開發人員自動化管道中，如Wukong靜態程式碼檢測系統。

面對Log4j漏洞，在處理第三方依賴關係時，也可以透過安全左移來解決。軟體組成分析 (SCA) 掃描您的軟體並編制材料清單 (BOM)，可以檢測應用程式元件和正在使用的版本。當出現類似的安全問題時，透過這些自動化安全檢測工具可以快速確定受影響的依賴項並制定下一步計劃。

企業也可以主動採取其他措施來提高SDLC中的左移安全性：

• 建立應用程式安全標準並進行溝通;

• 為開發人員提供安全編碼和激勵課程;

與專案經理介紹安全要求，以便在新專案啟動時共同協商安全問題。

當涉及到安全問題時，做好應對準備也很重要，但最大的勝利來自於這種左移的安全方法和你用它創造的積極文化。

文章來源：

https://www.darkreading.com/application-security/how-to-boost-shift-left-security-in-the-sdlc