从 3 个层级出发,做好 DevSecOps “安全左移” 经济账
创始人
2025-05-28 21:03:22
0

目前,业界已经达成共识:“安全左移” 成为了落地 DevSecOps 的重要实践之一。

所谓左右,与软件研发生命周期(SDLC)相关,常规的软件研发生命周期从左到右基本由以下步骤组成:计划(Plan)→ 编码(Code)→ 测试(Test)→ 发布(Release)→ 部署(Deploy)→ 运维 & 监控(Operation & Monitoring)。

“左移” 是指靠近编码、计划侧,“右移” 是指靠近上线运维侧。

安全左移与软件敏捷交付有关。传统安全手段和安全人员的介入,都在 SDLC 右侧。在敏态交付的驱动下,产品月度发布甚至周发布都变得稀松平常了,但安全始终是软件交付的底线与基石。为了在快速交付的前提下,还能保证软件的安全性,就提出了将安全进行左移的思路——即在计划、编码阶段就让安全介入,从源头把控安全。

安全左移是一本经济账


归根究底,安全 “左移” 的背后其实是一本经济账。

从上图可以看出,在软件开发生命周期不同阶段发现漏洞,其修复成本(人力、财力等)是不一样的。

如果说需求阶段发现一个漏洞,其修复成本是 1,在编码阶段发现,其成本就变成了 5,而在生产阶段成本变成了惊人的 30,这意味着:生产阶段漏洞修复成本=需求阶段漏洞修复成本 x 30 。

也就是说:越早发现漏洞,其修复成本越低,而越早也就意味着要在靠近软件开发生命周期左侧来发现漏洞,即 “安全左移”。

3个层面,实现真正的安全左移


要实现真正的 “安全左移”,需要做到以下三个层级:

手段/工具左移

针对应用程序安全,不同阶段有不同的安全手段来帮助发现潜在的安全漏洞,诸如:

  • 传统的静态应用程序安全测试(SAST),可以在应用程序处于非运行态时,针对源码、字节码、二进制包等进行扫描,发现问题;

  • 动态应用程序安全测试(DAST),可以在应用程序在运行态时,扫描和发现问题;

  • 敏感信息监测;

  • 当下时兴的容器镜像扫描、IAST、RASP 等手段。

在传统时代,安全一般在靠后阶段(可能是 Test 阶段甚至 Release 阶段)介入,一般是由专业的安全人员来手动进行上述的安全测试。这个过程中,研发不参与安全问题发现。

而在 “安全左移” 体系中,我们鼓励研发人员参与到安全防护体系中来,甚至成为安全发现与修复的前站。比如在 IDE 中集成 SAST,在编码阶段就能在本地进行安全扫描,一旦发现问题,即可自行修复,不涉及与其他团队(测试、安全)的交互,降低了沟通成本。

此外,开发人员也可以在本地尝试敏感信息扫描(可利用开源的 git-secrets、git-leaks 等工具)确保编码时没有对于敏感信息(数据库密码、token 等)进行 Hardcode。

手段/工具的左移,是实现 “安全左移” 的第一个层级,也是最容易实现的一个层级。

数据左移

当然,对于安全而言,发现问题并不是最重要的,能尽快修复问题才是最终目的。这就要求所有安全报告(由第一层级的安全工具所产生)的数据经过有效整理(如去除假阳性、区分好漏洞的严重等级、建议的修复手段等)并直接反馈给研发人员。反馈方式如直接把结果嵌入到 MR(Merge Request)中,方便开发人员、测试人员、代码审核人员查看信息,以确保合入的代码是经过安全扫描、修复的,进一步保证代码质量。此外,所有安全报告应该有统一的安全面板进行展示,方便所有人员查看,做到公开透明,有助于团队协作。

数据左移的目的是为了用数据驱动安全问题的修复,同时通过公开透明的方式提高安全性。这是“安全左移”的第二个层级。

文化左移

DevSecOps 模式下,安全人员不再是唯一需要对安全负责的团队/人员。

“安全左移” 之下,需要培养开发人员对于安全的责任意识,在编码中秉持安全原则,比如不引入有安全风险的外部依赖包、不 Hardcode 敏感信息等。

再往左,还可以培养产品/架构的安全意识,在计划/设计阶段就充分考虑安全,比如使用威胁建模方式,梳理安全边界、系统间的安全连接方式等。

文化左移是 “安全左移” 的第三个层级,也是最终层级。其目的是打造真正的 “人人为安全” 的企业文化,这也是 DevSecOps 最终想要达到的目标 —— 一个企业中,所有与软件研发相关的人员都可能成为软件安全交付的瓶颈,只有每个人都具有安全意识,才能消除安全瓶颈点,共同为客户交付安全、高效的软件。

相关内容

热门资讯

抗氧化剂对农杆菌介导的大豆下... 抗氧化剂对农杆菌介导的大豆下胚轴GUS基因瞬时表达的影响大豆(Glycine max)下胚轴作为大豆...
既约真分数一个性质的推广 既约真分数一个性质的推广冉树清老师在《数学通报》2002年第12期《既约真分数的'一个性质》一文中证...
项目范围管理论文 项目范围管理论文  在各领域中,大家都有写论文的经历,对论文很是熟悉吧,论文是学术界进行成果交流的工...
逆市调价? 逆市调价?就在贸易商们盘算着低价优惠出货时,6月30日发改委突然宣布上调国内汽柴油价格每吨600元....
生产流程管理的论文 生产流程管理的论文  生产流程,又叫工艺流程或加工流程,是指在生产工艺中,从原料投入到成品产出,通过...
卡门涡街 卡门涡街在自然界中常常可以看到卡门涡街现象,例如水流过桥墩,定常风吹过烟囱、电线等都会形成卡门涡街....
从《和解》来解读志贺直哉父子... 从《和解》来解读志贺直哉父子关系转变的过程摘 要:《和解》是大正六年(1917年)十月发表在《黑潮》...
幼儿园中班秋游活动方案2篇 幼儿园中班秋游活动方案如何制定?以下是PINCAI小编收集的幼儿园中班秋游活动方案,仅供大家阅读参考...
固定资产处置业务中的涉税处理... 固定资产处置业务中的涉税处理论文  固定资产处置是指企业的固定资产退出现有正常工作状态。固定资产退出...
地理论文参考 地理论文参考范文  导语:地理学是研究地球表面的地理环境中各种自然现象和人文现象,以及它们之间相互关...
参考文献字体格式要求   参考文献是在学术研究过程中,对某一著作或论文的整体的参考或借鉴。下面,小编为大家分享参考文献字体...
圣诞派对活动方案 圣诞派对活动方案(精选15篇)  为了确保活动有序有力开展,常常需要提前制定一份优秀的活动方案,活动...
如何做好可控震源的质量监控 如何做好可控震源的质量监控在可控震源施工中,必须对每一振次进行实时监控,对震源技术指标进行全程监控,...
图书馆世界读书日活动方案 图书馆2021年世界读书日活动方案(精选5篇)  为了确保活动有序有力开展,常常需要预先准备活动方案...
五四青年晚会活动方案 五四青年晚会活动方案(精选14篇)  为了确保活动有效开展,我们需要事先制定活动方案,活动方案指的是...
运动会开幕式入场方案 运动会开幕式入场方案  什么是工作方案?  工作方案是对未来要做的重要工作做了最佳安排,并具有较强的...
三八女神节活动策划方案 三八女神节活动策划方案(精选14篇)  为了确保活动能无误进行,通常需要预先制定一份完整的活动方案,...
饭店酒水促销活动方案 饭店酒水促销活动方案  为了确保活动能有条不紊地开展,预先制定活动方案是必不可少的,活动方案是活动的...
新年跨年活动方案   一、活动介绍  (一)活动流程介绍  (二)晚会特色  1.晚会幕布:  2.晚会入场:  3....
开放日活动方案 开放日活动方案(精选18篇)  为确保活动高质量高水平开展,预先制定活动方案是必不可少的,活动方案的...