“防护左移”赋能开发人员，实时修复代码安全问题

由于非法攻击识别难度大、传输协议多元化、实际应用场景多样化、供应链安全威胁严峻、传统防御措施效果差等痛点型安全防护新问题层出不穷。

针对现代应用需求应运而生的“安全防护左移”，对应安全战略模式的转变 —— 从“传统基于便捷防护的安全”向“面向应用现代化的内生安全”。

前言

越早地将安全性引入到工作流中个，就能越早地识别和补救安全弱点和漏洞 ——这一概念属于“左移”范畴。

将安全测试转移给开发人员，帮助他们几乎实时地修复代码中的安全问题，而不是像在传统开发环境中需要等到SDLC结束，以避免过时的安全措施拖累整个流程。

通过 DevSecOps，将安全性无缝集成到其现有的持续集成和持续交付 （ CI/CD ）实践中，涵盖了从规划和设计到编码、构建、测试和发布的整个 SDLC，提供实时连续的反馈循环和指导，赋能开发人员，提前规避大规模的安全漏洞，提升效率和时间成本。

修复行业安全问题

大部分行业的组织或团队，都可以实施DevSecOps，打破开发、安全和运维之间的接线，更高效发布安全的软件：

• 汽车行业

在满足 MISRA 和 AUTOSAR  等软件合规标准的同时，可以缩短较长的开发周期。

• 医疗保健行业

根据 HIPAA 等法规，在保证敏感患者资料的隐私和安全的同时，可以完全实现数字化转型。

• 金融、零售和电子商务行业

帮助修复 OWASP Top 10 Web 应用安全风险，并保持数据隐私和安全符合PCI DSS，针对消费者、零售商、金融业务等实体之间交易的支付卡标准。

• 嵌入式、联网、专用、消费类和 IoT 设备

编写安全代码，可以尽量减少 CWE Top 25 最危险软件错误的发生。

CWE

Common Weakness Enumeration

由美国国土安全局下的US-CERT（美国计算机应急管理中心）资助，是全世界最具知名度和权威性的软件安全漏洞模式库。

世界知名安全软件产品均在此组织进行认证，以表明该工具能够支持CWE所描述的主要缺陷模式的检测和分析。 

 

需要哪些应用安全工具来实施 DevSecOps ？

在DevSecOps的建设中，想要大幅度降低安全风险，核心是构建和利用好应用安全工具（AST）进行自动化漏洞发掘，确保执行缺陷检测的时机准确、及时，并且不会影响研发效率。

以下是目前市场上一些常用的 AST 工具：

• 静态安全测试 (SAST)
• 动态分析测试 (DAST)
• 交互式应用安全测试 (IAST)
• 软件成分分析 （SCA)

SAST

SAST （Static AST） ，工具扫描专有代码或自定义代码，查找编码错误和设计缺陷，避免产生可利用的弱点。SAST 工具主要用于 SDLC 的编码、构建和开发阶段。在国外，Coverity、Synopsys 等厂商均提供这样的测试工具；国内，啄木鸟、绿盟科技、泛联新安等均有此类工具，如：新一代的软件源代码缺陷分析的平台 —— CodeSense。

DAST

DAST：Dynamic AST 是一种自动黑盒测试技术，它模仿黑客与Web 应用或 API 交互的方式，通过网络连接和检查应用的客户端渲染来测试应用，就像渗透测试工具一样。

DAST 工具不需要访问源代码或自定义来扫描堆栈。它们与网站交互，以较低的误报率来发现漏洞。例如，Synopsys Web Scanner DAST 工具可识别 Web 应用和 API 上的漏洞，包括移动后端服务器、IoT 设备和任何 RESTful 或 GraphQL API 等 Web 连接设备。

IAST

IAST（Interactive AST ）工具在手动或自动功能测试期间在后台工作，分析 Web 应用的运行时行为。例如，Seeker IAST 工具使用插装来观察应用请求/响应交互、行为和数据流。可以检测运行时漏洞并自动重现和测试结果，为开发人员提供详细洞见，内容具体到发生漏洞的代码行。这可让开发人员将时间和精力集中在解决关键漏洞上。

SCA

SCA：软件成分分析，以应用中依赖的开源组件为检测主体，结合外部三方漏洞库对组件进行风险排查。同时围绕SDL的生命周期，从应用的开发前 - 开发中 - 上线前 - 上线后进行风险的感知、识别和处理。

开发流程的安全管控、黑白盒测试等安全“左移”方案在逐渐使应用程序变得健壮，帮助开发人员实时修复代码问题，但经验证明，无论上线前的测试如何充分，随着时间的推移或多或少会因技术演进展现脆弱性。

应用程序的生命周期不会随漏洞的出现而终止，而应用程序在运行时也需要更细粒度的安全防护，安全是一个在持续着的过程。