什么是安全左移?

admin 2024年10月29日22:11:52评论44 views字数 1483阅读4分56秒阅读模式

点击上方蓝字,后台回复合集获取网安资源

什么是安全左移?

1
什么是安全左移?

"安全左移"(Security Shift Left)是一个信息安全领域的概念,它强调将安全措施和考虑尽可能早地集成到软件开发生命周期中,而不是在开发完成后才处理安全问题。

左移(Shift Left)这个理念一开始出现在研发生命周期软件测试中,自V模型弥补传统瀑布模型的不足,即不要让测试工作只成为交付前的最后且唯一的质量保障手段,应该往前提,需要贯穿于整个软件研发生命周期中,更多的则强调开发工程师验证自己编写的代码(即:开发自测,包括代码逻辑、接口测试等,从效能方面来看也更加合适)。后来在Gartner的大会上也提出安全左移的概念,敏捷开发devops也持续深化了这一概念,降低了测试修复的成本提高了灵活性。

什么是安全左移?

2
为什么需要安全左移?

1、外因

什么是安全左移?

安全已成为市场差异化标志

01

消费者隐私保护、DevOps、云计算环境下的安全需求等。在已知漏洞中,90%涉及到Web 应用程序,这是黑客攻击的主要目标。而消费者则是最直接受害者,因为他们的个人身份信息(PII)正在被曝光并在暗网上出售,应用的安全性逐步成为消费者考虑的因素之一。
在云计算和DevOps环境中要求更快地将应用程序推向市场,同时保持高安全性,《福布斯》杂志指出,将安全性向左转移正成为云计算的一个重要趋势。
什么是安全左移?

供应链安全威胁严峻

02

当下,软件开发不再是闭门造车,开发过程会引入大量的第三方组件和代码。但这一发展变化也增加了安全隐患,第三方组件多由社区维护,鱼龙混杂,安全漏洞往往不能被及时发现和修复,甚至供应链框架代码本身就是投毒的一环,供应链安全威胁日益严峻。

2、内因

什么是安全左移?

减少修复成本

01

在软件开发生命周期的早期阶段修复漏洞相比后期修复要更为经济高效,因为修复成本会随着问题的拖延而增加

什么是安全左移?

实际应用场景多样化

02

软件行业发展迅速,容器、IaaS、PaaS、虚拟和弹性环境激增。在不同环境下,快速部署应用程序和API成为用户的核心要求;DevOps大行其道也进一步加快了集成、部署和交付的速度,因此,需要独立部署的WAF存在“致命”弱点,即不能满足用户实用场景下的灵活性需求。
敏捷和灵活是现代云原生技术的标志,在敏捷开发或者DevOps下,安全与开发的矛盾点会被放得更大。所以类似于软件测试,安全测试也应该前置,在产品研发流程中,在靠前的环节嵌入相应的安全活动。借助合适的云技术,开发团队能够与 DevOps 及安全运营团队一起安全地构建和测试应用程序的代码,并最终实现更高效运行,同时减少生产过程中的安全问题。
3
测试左移的方法和工具

随着威胁环境的演变、开发环境的扩展,开发时间表变得越来越紧,我们必须不断更新我们的左移方法和策略。

几年前的左移工具和过程在今天已经不足以确保质量、安全性和速度。组织需要确保他们的左移策略保持更新,并且能够跟上当今应用程序安全挑战。

这就需要采用自动化的测试工具,这些工具可以很容易的集成进SDLC早期阶段,但这还不够,重要的是这些工具要能够无缝的适应DevOps流程,这样它们才不会中断或延迟开发。

以下是一些主流且好用的安全测试左移工具:

什么是安全左移?

但是对于企业来说,如此多的工具分开来用总是显得有些麻烦,如果有平台可以集成这些自动化工具,那么能极大的减少企业的时间和选择成本。
内容整合自联通西安软件研究院和泛联新安软件安全实验室,如有侵权请联系删除
什么是安全左移?

今晚20点【XSS漏洞】实训营继续开播!

网安大佬手把手带你挖漏洞:

通过XSS漏洞演示键盘监听、Cookie窃取......

全程高能,只有干货,预约点→

什么是安全左移?

什么是安全左移?

什么是安全左移?

原文始发于微信公众号(马哥网络安全):什么是安全左移?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月29日22:11:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   什么是安全左移?https://cn-sec.com/archives/3329927.html

发表评论

匿名网友 填写信息