在軟件開發(fā)早期階段引入安全有助于防止缺陷，但過程中并非毫無問題。

我們早已超越了在開發(fā)工作流中納入安全只是“推薦做法”的階段。當今快速創(chuàng)新與開發(fā)周期中，成熟企業(yè)將安全置于每項決策的首要位置。

[[432757]]

隨著開發(fā)團隊越來越有信心在項目中引入安全，隨著安全人員學會在不影響創(chuàng)新的情況下履行職責，新的關注重點落在了安全左移上。

“安全左移”指的是將安全程序(代碼審查、分析、測試等等)移動到軟件開發(fā)生命周期(SDLC)早期階段，從而防止缺陷產(chǎn)生和盡早找出漏洞的過程。通過在早期階段修復問題，防止其演變?yōu)樾杌ㄙM巨資加以修復的災難性漏洞，安全左移可達到節(jié)省時間和金錢的目的。

從初始編碼到最終發(fā)布，修復缺陷的成本可增加640%，所以各位技術主管都熱衷于安全左移。然而，盡管安全團隊和開發(fā)團隊都可受益于安全左移，在實現(xiàn)這一操作時仍可能面臨以下挑戰(zhàn)。

安全左移需要成熟的團隊

第一個挑戰(zhàn)就是該方法需要成熟的團隊。向SDLC引入安全的時候，成熟度不高的團隊面臨更多困難。這些團隊將需要創(chuàng)建系統(tǒng)性協(xié)作方法來實現(xiàn)創(chuàng)新和防護兩不耽誤。

如果一個項目沒有遵循基本的最佳實踐，比如高測試覆蓋率和關鍵洞察，那就無法在該項目中推廣良好的安全實踐。實現(xiàn)安全左移的團隊必須對過程中彼此的功能有基本的了解。

開發(fā)人員必須重視風險

另一個常見挑戰(zhàn)是開發(fā)人員需對安全風險有切實的認知。盡管安全人員普遍具備這種認知，但很多開發(fā)人員還不習慣在開發(fā)過程中同步思考安全問題。

安全意識培訓和持續(xù)檢查是彌合知識鴻溝方面至關重要。安全團隊與開發(fā)團隊必須協(xié)同工作，了解對方的工作流和最佳實踐。

OWASP Top 10是開發(fā)人員初涉安全的良好學習資源。利用這一資源，開發(fā)人員可了解到行業(yè)面臨的頂級安全風險和防范這些風險的基本信息。

成長的煩惱和摩擦很常見

由于左移過程中開發(fā)人員和安全團隊之間需要更多的交互，企業(yè)必須預期二者在調(diào)適彼此工作流時可能會出現(xiàn)一些摩擦。

開發(fā)人員和安全人員的職能完全不同。開發(fā)人員的主要職能是往項目中引入新的功能，注重創(chuàng)新。另一方面，安全人員則必須注意潛在的漏洞，防止出現(xiàn)可能發(fā)生漏洞利用和攻擊的任何缺口。

安全必須參與到每個步驟中

為增強有效性，安全團隊需參與到整個SDLC的每個階段，搶在潛在風險前面。一種常見的反對聲音是，安全會阻礙SDLC和生產(chǎn)力。但是，花在監(jiān)測這些風險上的時間最終將可防止成本更加高昂的重大事件發(fā)生。

盡管安全左移可能需要開發(fā)團隊和安全團隊的一些試錯和一點點耐心，但企業(yè)最終將從中受益。借助對開發(fā)過程的更多了解，安全團隊將可更好地保護開發(fā)人員的項目和整個公司。