長(zhǎng)期以來，安全性一直是軟件開發(fā)過程中事后才考慮的問題，通常在創(chuàng)建產(chǎn)品并在發(fā)布時(shí)發(fā)現(xiàn)漏洞之后才予以適當(dāng)考慮。從組織的一個(gè)獨(dú)立部分管理安全性，脫離軟件開發(fā)的日常現(xiàn)實(shí)，從來都不是最有效的資源利用。開發(fā)人員安全性，有時(shí)稱為開發(fā)人員優(yōu)先安全性，表示從一開始就將應(yīng)用程序安全性轉(zhuǎn)移到開發(fā)過程中，方法是為開發(fā)人員提供安全工具并使大多數(shù)掃描測(cè)試和補(bǔ)救活動(dòng)在內(nèi)部發(fā)生開發(fā)環(huán)境。

云原生應(yīng)用程序的復(fù)雜性和發(fā)布速度使得采用新工具和流程以實(shí)現(xiàn)穩(wěn)固安全基礎(chǔ)的需求變得更加緊迫。云中的開發(fā)人員安全不僅僅是為您的開發(fā)人員提供對(duì)現(xiàn)有工具的訪問權(quán)限——它需要轉(zhuǎn)變思維方式，并提供適合軟件開發(fā)生命周期的安全軟件和流程。

安全嵌入到 SDLC 的每個(gè)階段

實(shí)現(xiàn)從代碼到云的最佳安全態(tài)勢(shì)意味著讓安全成為每個(gè)人的責(zé)任。專門的安全團(tuán)隊(duì)不太可能成為所有新興云技術(shù)的專家，這使他們成為業(yè)務(wù)增長(zhǎng)的潛在瓶頸。在軟件開發(fā)生命周期結(jié)束時(shí)將安全性定位為質(zhì)量門意味著安全團(tuán)隊(duì)需要解決更多問題。采用開發(fā)人員至上的安全性作為框架并將安全性集成到軟件開發(fā)生命周期中會(huì)讓整個(gè)組織認(rèn)識(shí)到安全性是成功的關(guān)鍵，不能將其視為一個(gè)單獨(dú)的問題。

傳統(tǒng)上，安全團(tuán)隊(duì)手動(dòng)測(cè)試應(yīng)用程序，對(duì)每個(gè)產(chǎn)品或服務(wù)使用不同的工具，以及掃描和滲透測(cè)試。要求您的開發(fā)團(tuán)隊(duì)將安全放在首位和中心位置意味著找到更好的方法，現(xiàn)在開發(fā)安全工具時(shí)考慮了自動(dòng)化和集成。漏洞掃描器現(xiàn)在與CI/CD 管道集成，以確保代碼在發(fā)布時(shí)是安全的，并與問題跟蹤功能集成以提供全面的可見性。這種自動(dòng)化和集成的方法意味著安全性不再是事后的想法，它嵌入在軟件開發(fā)生命周期的每個(gè)階段，而不是最后的復(fù)選框。

開發(fā)人員至上的安全性通過設(shè)計(jì)確保應(yīng)用程序安全

如果集成開發(fā)環(huán)境 (IDE) 中內(nèi)置了安全工具，安全漏洞掃描會(huì)自動(dòng)進(jìn)行，任何問題都可以像其他問題一樣被記錄和跟蹤。同樣的集成意味著員工不需要學(xué)習(xí)如何使用新的工具集。

將安全工具交到開發(fā)人員手中意味著可以在軟件開發(fā)生命周期中盡早檢測(cè)到漏洞。在部署管道中集成安全工具意味著每個(gè)提交的更改在傳遞到下一個(gè)開發(fā)階段之前都會(huì)被掃描。這也意味著漏洞更容易解決，因?yàn)樗鼈冊(cè)谝霑r(shí)就被檢測(cè)到，并且可以由最接近代碼的個(gè)人或團(tuán)隊(duì)解決，而不是傳遞給那些不太了解的人。

受益于開發(fā)人員安全性的不僅僅是內(nèi)部軟件開發(fā)。大多數(shù)軟件都是使用從公共存儲(chǔ)庫(kù)訪問的第三方和開源組件構(gòu)建的。至關(guān)重要的是，您的開發(fā)安全工具能夠掃描 Github、Gitlab、Docker Hub 和其他云服務(wù)等位置，以確保檢測(cè)到影子資源并在任何地方發(fā)現(xiàn)安全問題。云計(jì)算的出現(xiàn)已經(jīng)轉(zhuǎn)移了安全重點(diǎn)，重要的是要了解您的代碼，而不是底層基礎(chǔ)設(shè)施，是惡意行為者的主要目標(biāo)。

開發(fā)人員安全的好處

開發(fā)人員安全方法帶來了許多好處，包括：

• 一致的安全方法：開發(fā)人員安全工具支持掃描本地和公共存儲(chǔ)庫(kù)，最大限度地提高安全態(tài)勢(shì)。
• 可見性和跟蹤：將安全問題與其他開發(fā)任務(wù)一起記錄可以改善團(tuán)隊(duì)之間的協(xié)作、修復(fù)時(shí)間和管理信息。
• 自動(dòng)檢測(cè)：自動(dòng)檢測(cè)漏洞、錯(cuò)誤配置和隱藏的秘密可以實(shí)現(xiàn)更安全的軟件開發(fā)，并最終帶來更安全的產(chǎn)品。
• 降低補(bǔ)救成本：通過早期檢測(cè)降低開發(fā)成本，允許單個(gè)團(tuán)隊(duì)進(jìn)行分析和補(bǔ)救。
• 整個(gè) SDLC 的安全性： CI/CD 管道中的安全性集成最大限度地提高了整個(gè)軟件開發(fā)生命周期中的漏洞檢測(cè)。
• 透明的事件分析：集中的漏洞管理和管理信息提供透明度并建立信心。

集成在設(shè)計(jì)時(shí)考慮到開發(fā)人員安全性的工具會(huì)導(dǎo)致安全性左移，創(chuàng)建設(shè)計(jì)安全的應(yīng)用程序、沒有漏洞、錯(cuò)誤配置和共享機(jī)密的存儲(chǔ)庫(kù)，并提高生產(chǎn)力。