软件开发中的安全与风险管理

关键要点

现代软件开发需要将安全措施纳入软件开发生命周期(SDLC)的每个环节。大约67的开发者承认面临安全漏洞问题，并认为应用保护在未来12到18个月中将变得更加重要。团队在推进安全成熟度时，分为定义、实施和扩展三个阶段，避免实施过程中的“打卡”心态至关重要。

现代软件开发需要现代的风险缓解策略，未来导向的组织意识到将安全性作为“向左转”的重要性，即从一开始就将安全性视为软件开发生命周期(SDLC)不可或缺的一部分。

根据我们发布的最近研究，三分之二的开发者预期未来12到18个月，应用保护将成为比新功能、应用性能和代码质量更重要的优先事项。这是个好消息，尤其是因为67的开发者认为在压力下，他们交付的代码常常存在漏洞，比如紧张的发布截止日期和苛刻的功能需求。

为了避免这种情况，团队在推进到最佳安全成熟度时，经历定义、实施和扩展三个阶段。在初始的定义阶段，他们承认自己的代码中存在软件漏洞，并且需要采取主动的方法，而不是在开发周期的后期总是被动反应扫描器识别出的漏洞。这一过程通常伴随着误报和漏报，导致生产效率低下。

不用登录的加速器永久免费版

同时，他们希望从“打卡”合规心态转向持续改进的循环，以应对日益演变的威胁。在定义阶段，团队需要争取管理层和主要利益相关者的支持，以确保安全在开发中被优先考虑，并分配足够的时间和资源来建立所需的基本技能。

如何主动推进安全成熟度旅程

随后，团队进入实施阶段在这一阶段，他们可能会遇到一些阻碍，导致扩展过程显著延迟，甚至停滞不前。

为什么会出现这种情况？

因为承诺合作与计划是成功实施的关键。安全团队必须专注于加强与开发者的沟通与关系，以便开发者学会使用正确的保护工具，甚至最大化其价值。然而，团队在这一阶段往往会陷入“打卡”心态，或者试图通过几次会议“解决所有问题”，参与者可能会认为所有这些努力都在“妨碍”他们处理更紧迫任务如发布截止日期。

此时，全面的向左转战略的实施似乎显得过于“庞大”与可怕，使得团队很难入手更遑论扩展。这种拼凑式的过程导致执行上的不一致，使组织无法达到统一的安全成熟度模型。

那么，团队如何在实施阶段“解锁”并向扩展迈进呢？下面是三个关键步骤：

步骤描述1 从基础技能建设开始。在这一阶段的初期，避免“解决所有问题”的综合症。清楚了解开发团队成员现有的安全能力，并共同制定计划，通过持续培训和实践经验提升他们的技能。此外，建立代码防护标准的基准线和实现这些标准所需的技能。采用分级学习的方法，将较大的主题划分为小的概念，让团队成员通过适当的练习和指导快速掌握。我们的研究发现，92的组织中的开发者至少需要一些安全培训如果不是“重要”的培训，团队无法在安全成熟的道路上前进。2 确定常见的高风险漏洞。消除漏洞可减少昂贵的返工并降低风险，因此团队必须评估数据，以确定最常见的漏洞。接着，他们必须优先培训安全编码技能以应对这些问题。3 培养持续学习的文化。这发生在安全和开发团队联合工作，大家都在寻求从错误、挑战、成功中学习，并彼此学习。组织发现这种积极的能量会进一步推动更好的协作，形成深远的共享经验，最终实现最佳成熟度。

通过分级学习的方法，可以将小概念逐层引入更新、更高级甚至更复杂的主题。同时，团队可以识别并任命最有技能和热情的开发者作为安全成熟度的先锋，他们可以作为同事的实际导师，并在他们的部门和AppSec团队之间充当联络人。

请记