安全左移的四個常見挑戰(zhàn)
在軟件開發(fā)早期階段引入安全有助于防止缺陷,但過程中并非毫無問題。
我們早已超越了在開發(fā)工作流中納入安全只是“推薦做法”的階段。當(dāng)今快速創(chuàng)新與開發(fā)周期中,成熟企業(yè)將安全置于每項決策的首要位置。
隨著開發(fā)團隊越來越有信心在項目中引入安全,隨著安全人員學(xué)會在不影響創(chuàng)新的情況下履行職責(zé),新的關(guān)注重點落在了安全左移上。
“安全左移”指的是將安全程序(代碼審查、分析、測試等等)移動到軟件開發(fā)生命周期(SDLC)早期階段,從而防止缺陷產(chǎn)生和盡早找出漏洞的過程。通過在早期階段修復(fù)問題,防止其演變?yōu)樾杌ㄙM巨資加以修復(fù)的災(zāi)難性漏洞,安全左移可達到節(jié)省時間和金錢的目的。
從初始編碼到最終發(fā)布,修復(fù)缺陷的成本可增加640%,所以各位技術(shù)主管都熱衷于安全左移。然而,盡管安全團隊和開發(fā)團隊都可受益于安全左移,在實現(xiàn)這一操作時仍可能面臨以下挑戰(zhàn)。
安全左移需要成熟的團隊
第一個挑戰(zhàn)就是該方法需要成熟的團隊。向SDLC引入安全的時候,成熟度不高的團隊面臨更多困難。這些團隊將需要創(chuàng)建系統(tǒng)性協(xié)作方法來實現(xiàn)創(chuàng)新和防護兩不耽誤。
如果一個項目沒有遵循基本的最佳實踐,比如高測試覆蓋率和關(guān)鍵洞察,那就無法在該項目中推廣良好的安全實踐。實現(xiàn)安全左移的團隊必須對過程中彼此的功能有基本的了解。
開發(fā)人員必須重視風(fēng)險
另一個常見挑戰(zhàn)是開發(fā)人員需對安全風(fēng)險有切實的認(rèn)知。盡管安全人員普遍具備這種認(rèn)知,但很多開發(fā)人員還不習(xí)慣在開發(fā)過程中同步思考安全問題。
安全意識培訓(xùn)和持續(xù)檢查是彌合知識鴻溝方面至關(guān)重要。安全團隊與開發(fā)團隊必須協(xié)同工作,了解對方的工作流和最佳實踐。
OWASP Top 10是開發(fā)人員初涉安全的良好學(xué)習(xí)資源。利用這一資源,開發(fā)人員可了解到行業(yè)面臨的頂級安全風(fēng)險和防范這些風(fēng)險的基本信息。
成長的煩惱和摩擦很常見
由于左移過程中開發(fā)人員和安全團隊之間需要更多的交互,企業(yè)必須預(yù)期二者在調(diào)適彼此工作流時可能會出現(xiàn)一些摩擦。
開發(fā)人員和安全人員的職能完全不同。開發(fā)人員的主要職能是往項目中引入新的功能,注重創(chuàng)新。另一方面,安全人員則必須注意潛在的漏洞,防止出現(xiàn)可能發(fā)生漏洞利用和攻擊的任何缺口。
安全必須參與到每個步驟中
為增強有效性,安全團隊需參與到整個SDLC的每個階段,搶在潛在風(fēng)險前面。一種常見的反對聲音是,安全會阻礙SDLC和生產(chǎn)力。但是,花在監(jiān)測這些風(fēng)險上的時間最終將可防止成本更加高昂的重大事件發(fā)生。
盡管安全左移可能需要開發(fā)團隊和安全團隊的一些試錯和一點點耐心,但企業(yè)最終將從中受益。借助對開發(fā)過程的更多了解,安全團隊將可更好地保護開發(fā)人員的項目和整個公司。
