点击上方蓝字,后台回复【合集】获取网安资源
"安全左移"(Security Shift Left)是一个信息安全领域的概念,它强调将安全措施和考虑尽可能早地集成到软件开发生命周期中,而不是在开发完成后才处理安全问题。
左移(Shift Left)这个理念一开始出现在研发生命周期软件测试中,自V模型弥补传统瀑布模型的不足,即不要让测试工作只成为交付前的最后且唯一的质量保障手段,应该往前提,需要贯穿于整个软件研发生命周期中,更多的则强调开发工程师验证自己编写的代码(即:开发自测,包括代码逻辑、接口测试等,从效能方面来看也更加合适)。后来在Gartner的大会上也提出安全左移的概念,敏捷开发devops也持续深化了这一概念,降低了测试修复的成本提高了灵活性。
1、外因
安全已成为市场差异化标志
01
供应链安全威胁严峻
02
当下,软件开发不再是闭门造车,开发过程会引入大量的第三方组件和代码。但这一发展变化也增加了安全隐患,第三方组件多由社区维护,鱼龙混杂,安全漏洞往往不能被及时发现和修复,甚至供应链框架代码本身就是投毒的一环,供应链安全威胁日益严峻。
2、内因
减少修复成本
01
在软件开发生命周期的早期阶段修复漏洞相比后期修复要更为经济高效,因为修复成本会随着问题的拖延而增加
实际应用场景多样化
02
随着威胁环境的演变、开发环境的扩展,开发时间表变得越来越紧,我们必须不断更新我们的左移方法和策略。
几年前的左移工具和过程在今天已经不足以确保质量、安全性和速度。组织需要确保他们的左移策略保持更新,并且能够跟上当今应用程序安全挑战。
这就需要采用自动化的测试工具,这些工具可以很容易的集成进SDLC早期阶段,但这还不够,重要的是这些工具要能够无缝的适应DevOps流程,这样它们才不会中断或延迟开发。
以下是一些主流且好用的安全测试左移工具:
今晚20点【XSS漏洞】实训营继续开播!
网安大佬手把手带你挖漏洞:
通过XSS漏洞演示键盘监听、Cookie窃取......
全程高能,只有干货,预约点→
原文始发于微信公众号(马哥网络安全):什么是安全左移?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论