安全左移的四個常見挑戰

在軟件開發早期階段引入安全有助于防止缺陷，但過程中并非毫無問題。

我們早已超越了在開發工作流中納入安全只是“推薦做法”的階段。當今快速創新與開發周期中，成熟企業將安全置于每項決策的首要位置。

隨著開發團隊越來越有信心在項目中引入安全，隨著安全人員學會在不影響創新的情況下履行職責，新的關注重點落在了安全左移上。

“安全左移”指的是將安全程序(代碼審查、分析、測試等等)移動到軟件開發生命周期(SDLC)早期階段，從而防止缺陷產生和盡早找出漏洞的過程。通過在早期階段修復問題，防止其演變為需花費巨資加以修復的災難性漏洞，安全左移可達到節省時間和金錢的目的。

從初始編碼到最終發布，修復缺陷的成本可增加640%，所以各位技術主管都熱衷于安全左移。然而，盡管安全團隊和開發團隊都可受益于安全左移，在實現這一操作時仍可能面臨以下挑戰。

安全左移需要成熟的團隊

第一個挑戰就是該方法需要成熟的團隊。向SDLC引入安全的時候，成熟度不高的團隊面臨更多困難。這些團隊將需要創建系統性協作方法來實現創新和防護兩不耽誤。

如果一個項目沒有遵循基本的最佳實踐，比如高測試覆蓋率和關鍵洞察，那就無法在該項目中推廣良好的安全實踐。實現安全左移的團隊必須對過程中彼此的功能有基本的了解。

開發人員必須重視風險

另一個常見挑戰是開發人員需對安全風險有切實的認知。盡管安全人員普遍具備這種認知，但很多開發人員還不習慣在開發過程中同步思考安全問題。

安全意識培訓和持續檢查是彌合知識鴻溝方面至關重要。安全團隊與開發團隊必須協同工作，了解對方的工作流和最佳實踐。

OWASP Top 10是開發人員初涉安全的良好學習資源。利用這一資源，開發人員可了解到行業面臨的頂級安全風險和防范這些風險的基本信息。

成長的煩惱和摩擦很常見

由于左移過程中開發人員和安全團隊之間需要更多的交互，企業必須預期二者在調適彼此工作流時可能會出現一些摩擦。

開發人員和安全人員的職能完全不同。開發人員的主要職能是往項目中引入新的功能，注重創新。另一方面，安全人員則必須注意潛在的漏洞，防止出現可能發生漏洞利用和攻擊的任何缺口。

安全必須參與到每個步驟中

為增強有效性，安全團隊需參與到整個SDLC的每個階段，搶在潛在風險前面。一種常見的反對聲音是，安全會阻礙SDLC和生產力。但是，花在監測這些風險上的時間最終將可防止成本更加高昂的重大事件發生。

盡管安全左移可能需要開發團隊和安全團隊的一些試錯和一點點耐心，但企業最終將從中受益。借助對開發過程的更多了解，安全團隊將可更好地保護開發人員的項目和整個公司。

來源：數世咨詢