當我們談網絡安全的未來時，應用開發安全是不可繞開的一環。

最近的一項行業研究顯示，它是過去一年增長最快的網絡安全技能。預計在未來五年內，應用安全開發技能的需求將增長164%。相應地，該職位的空缺總數將從2020年的29635上升到若干年后的48601。

那么，到底什么是應用開發安全技能?它快速增長的原因是什么?

[[388666]]

應用開發安全有哪些技能?

首先，應用開發安全技能就是通過尋找和修復漏洞來加強應用的防御能力。這個過程通常在應用上線前的開發階段，但有時候應用上線后也需要。

除了應用安全測試(AST)，應用開發安全的技能還包括以下幾種：

• 靜態應用安全測試(SAST)。這種方法需要防御人員對應用的架構有一定的了解。他們可以利用這些知識來報告源代碼中的弱點。
• 動態應用安全測試(DAST)。與SAST相反，DAST假定防御人員對應用程序的代碼完全不了解，其目的是在應用運行狀態中尋找潛在漏洞。
• 交互式應用安全測試(IAST)。這種方法是將SAST和DAST二者結合。

[[388667]]

為什么需要應用開發安全技能?

對應用開發安全技能的需求不斷增長，反映了兩個持續的趨勢。

• 世界正變得更移動化。企業和機構在移動設備上投入更多，用戶也更習慣在移動端獲取服務。在這一過程中，企業需要具備應用開發安全技能的人來保護應用安全，以確保給龐大地用戶群提供安全地移動性能。
• 應用防御系統中的漏洞會削弱用戶和開發者之間的信任。這樣的漏洞在移動應用中很常見。2020年研究分析的iOS和Android應用中，有近四分之三的應用沒有通過基礎的安全測試。超過五分之四(83%)的受調查應用至少有一個漏洞，研究中91%的iOS應用和95%的Android應用都出現了漏洞

保障業務安全

這些漏洞對企業構成了威脅。服務器端控制薄弱、數據存儲不安全、密碼被破壞等問題，相當于為外部攻擊者竊取信息敞開了大門。

潛在客戶可能會猶豫是否要與那些應用開發安全性差、遭遇數據泄露的企業合作。當然，合作的前提是，企業經受了支付維修費用、支付法律費用和其他因泄密帶來的損失后還能繼續運營。

更有甚者，有些客戶可能沒時間來等你部署應用開發安全?？蛻艨赡軙硎荆昂献鞯膽煤凸驹诿媾R攻擊之前，就編寫好了更安全的代碼。在某些情況下，客戶帶來的壓力和監管合規機構帶來的壓力旗鼓相當。

這表明應用程序開發安全正成為一種手段，幫助企業在與客戶合作的初始階段就保持信任，而不是在問題公開披露造成不良后果之后。

開發人員的最佳實踐

工作環境中需要的防御技能也會隨著時間發生變化。開發人員的工具鏈中內置軟件組件分析工具和防御測試，可能會在未來幾年內取代舊的AST方法。

行業專家預測，到2022年，自動化解決方案將能夠修復SAST工具發現的10%的漏洞。

這些預測顯示了應用開發安全作為一個領域的發展趨勢。但它們并不影響開發者在開發安全應用程序時可以使用的基本實踐。例如，開發人員需要意識到，他們很少需要從頭開始編寫代碼。他們不必苛求自己做好防御工作。相反，他們可以使用安全框架來推動代碼進步。他們還應該確保他們使用的是第三方代碼或庫的最新版本。

開發人員也應該重視團隊合作的力量。他們可以與安全架構師和運營團隊聯手，以進行安全威脅演練。這個過程不僅有助于發現和分流潛在威脅，還能促進溝通和相互理解，這是建立DevSecOps(開發、安全、運營)文化的基礎。

面向未來的應用開發安全

就像我們前面所說的，應用程序開發安全是企業未來生存的要素之一。將應用安全落實到位的工具和方法可能會發生變化，但安全的基本要素將在未來幾年乃至更長時間內保持相關性。