如何提高SDLC中的左移安全性?

在開發(fā)生命周期的早期進(jìn)行軟件安全檢測，組織將獲得巨大的收益。

對于多數(shù)開發(fā)人員來說，日常關(guān)注的并不是應(yīng)用程序或軟件的安全問題。尤其關(guān)于強(qiáng)制性的網(wǎng)絡(luò)釣魚培訓(xùn)、網(wǎng)絡(luò)層防御等更是阻礙按時(shí)交付開發(fā)要求的障礙。然而，從安全角度來說，開發(fā)人員每天接觸的代碼中存在的缺陷，可能引起嚴(yán)重的安全問題。

關(guān)注安全問題需要從開發(fā)人員做起，當(dāng)創(chuàng)建應(yīng)用程序時(shí)，開發(fā)人員一方面要關(guān)注開發(fā)進(jìn)程，另一方面就是安全。

安全左移

對于開發(fā)人員來說，開發(fā)成功的標(biāo)準(zhǔn)一般是什么?

• 功能化業(yè)務(wù)需求;
• 在最后期限內(nèi)按時(shí)完成。

了解了這些標(biāo)準(zhǔn)，我們?nèi)绾渭尤氚踩⒉粚λ鼈儺a(chǎn)生負(fù)面影響?

答案是：左移安全性。

盡可能早的在軟件開發(fā)生命周期(SDLC)中應(yīng)用安全性檢測，當(dāng)在SDLC的開發(fā)階段發(fā)現(xiàn)代碼缺陷時(shí)，此時(shí)并非每個(gè)缺陷都是安全漏洞。然而當(dāng)這些缺陷被惡意分子加以利用時(shí)，修復(fù)這些缺陷所需的時(shí)間、精力和金錢比在開發(fā)時(shí)發(fā)現(xiàn)要多得多。

現(xiàn)在有很多出色的靜態(tài)應(yīng)用程序安全測試 (SAST) 解決方案可以在開發(fā)人員編碼時(shí)分析代碼并實(shí)時(shí)提供補(bǔ)救措施。除了可以在IDE中使用，也能將SAST集成到開發(fā)人員自動(dòng)化管道中，如Wukong靜態(tài)代碼檢測系統(tǒng)。

面對Log4j漏洞，在處理第三方依賴關(guān)系時(shí)，也可以通過安全左移來解決。軟件組成分析 (SCA) 掃描您的軟件并編制材料清單 (BOM)，可以檢測應(yīng)用程序組件和正在使用的版本。當(dāng)出現(xiàn)類似的安全問題時(shí)，通過這些自動(dòng)化安全檢測工具可以快速確定受影響的依賴項(xiàng)并制定下一步計(jì)劃。

企業(yè)也可以主動(dòng)采取其他措施來提高SDLC中的左移安全性：

• 創(chuàng)建應(yīng)用程序安全標(biāo)準(zhǔn)并進(jìn)行溝通;
• 為開發(fā)人員提供安全編碼和激勵(lì)課程;

與項(xiàng)目經(jīng)理介紹安全要求，以便在新項(xiàng)目啟動(dòng)時(shí)共同協(xié)商安全問題。

當(dāng)涉及到安全問題時(shí)，做好應(yīng)對準(zhǔn)備也很重要，但最大的勝利來自于這種左移的安全方法和你用它創(chuàng)造的積極文化。

文章來源：

https://www.darkreading.com/application-security/how-to-boost-shift-left-security-in-the-sdlc