向左移动安全

在传统的软件开发中,安全通常是在下游处理的:当软件准备发布时,安全部门或外部公司会进行安全审查。这种做法的问题在于,当此时出现架构性问题时,已经很难进行修复。通常来说,越晚修复安全漏洞,成本就越高;如果不修复漏洞,可能会导致数百万美元的损失,甚至可能导致一些公司破产。在开发生命周期中,越早修复安全漏洞,成本就越低(见图13.2):

image 2024 12 27 15 54 06 331
Figure 1. 图13.2 - 在开发生命周期中修复安全漏洞的成本

这就是我们所说的 “Shift-left安全”:将安全融入开发生命周期,并使其成为所有活动的核心部分。

问题在于,目前没有足够的安全专家可以将其分配到每个工程团队中。将安全 “向左移动” 就是通过教育工程师,培养安全优先的思维方式。