未来虽然无法预知。但某些事情的发展方向已经显而易见了。我们可以看到 2022 年出现的一个新的趋势-安全 “左移”。
为什么这么说?因为这件事情现在时机已经足够成熟。
还记得瀑布开发方法吗?瀑布是一种软件开发方法,它将软件开发生命周期 (SDLC) 过程分解为线性、连续的步骤。在这种现在已经过时的方法中,安全测试被降级到最后,通常在生产环境部署之前。虽然多年来它一直是一种流行的方法,但在今天,它已经脱节了,部分原因是项目生命周期的后期才能看到结果。这种缺陷推动了向敏捷开发流程的转变,因此诞生了一种以 DevOps 为中心的方法论,其中安全测试(以及其他元素)被左移到 软件开发生命周期的开始阶段,在软件开发的整个过程中迭代的执行,而不是仅在生产上线前那一刻。
下面我们将具体讨论一下什么是安全 “左移”,以及安全“左移”带来的优势有哪些。
什么是安全 “左移”?
传统上,安全检测一般只有在必要时才需要开展。比如,当企业需要遵守SOC 2来完成交易时,解决安全性要求就成为当务之急。如果一家公司需要ISO 27001来吸引新的投资者,那么安全就必须得到加强。
这种“事后诸葛亮”的心态将安全合规视为需要跨越的一大障碍。如果你跳得不够高,很快你就会摔倒在地。
但问题是,如果从正确的角度来看,安全合规可以成为增长的驱动力。更具体地说,一个全面的安全合规计划,它主动考虑到公司的增长方向&#