安全开发（DevSecOps）：从代码开始的安全

很大一部分安全漏洞并非来自网络或服务器，而是来自软件本身：一处缺失的校验、一个过期的库、一个写在代码里的密钥。多年来，软件安全一直被放到最后处理，作为上线生产前的一次审查，而那时修复已经既昂贵又缓慢。安全开发及其被称为DevSecOps的方法改变了这一点：它把安全融入整个开发周期，从设计到部署。

在本文中，我们将说明什么是DevSecOps、它由哪些实践构成，以及为什么从一开始就把软件做得安全，比事后打补丁要省钱得多。

什么是DevSecOps

DevSecOps是把安全纳入软件开发每个阶段的实践，而不是把它当作最后的一道关卡。其核心理念是把安全左移（shift left）：在流程中越早发现问题，解决起来就越便宜、越容易。安全不再是一个在最后审查并拖慢发布的安全团队的事，而成为一种伴随开发却不拖累它的、共享且自动化的责任。

安全开发的关键实践

安全开发结合了多项相互强化的实践：

• 威胁建模：在动手构建之前思考他们可能如何攻击。
• 静态分析（SAST）：自动审查代码以寻找缺陷。
• 依赖分析：检测有漏洞的第三方库。
• 动态分析（DAST）：在运行状态下测试应用。
• 密钥管理：避免密钥和密码最终落入代码中。
• 安全审查：对关键点施加人类的判断。

流水线中的自动化安全

要让安全不拖慢团队，关键是把它自动化到集成与部署流水线（CI/CD）中。每次提交代码时，都会自动执行代码分析、依赖扫描和其他检查，这样问题会被即时发现，而不是几周之后。这种自动化把安全变成工作流程中自然的一部分，而不是一旦赶时间就会被跳过的手续。

依赖这一环

现代软件很大程度上是用第三方组件搭建的，而那里隐藏着巨大的风险：一个带有漏洞的流行库可能同时影响成千上万个应用。因此，管理依赖（知道用了什么、保持其更新、并盯防已知漏洞）如今是最重要的安全实践之一。一份组件清单及其持续监控，能避免你在不知情的情况下继承他人的缺陷。

团队的文化与培训

技术和自动化必不可少，但如果开发者把安全视为强加的障碍，安全开发就会失败。因此，支撑其余一切的那块基石是文化：培训团队，让他们理解最常见的漏洞、重视安全、并把它当作自己工作的一部分，而不是别的部门的任务。当一名开发者在写代码时就能识别出不安全的模式，他就在源头预防了缺陷，那是成本最低的时刻。投资于持续培训和优秀的内部指南，能把安全变成一种共享的习惯，而非一场无休止的争斗。

预防比打补丁更省钱

安全开发的经济论据非常有力：在设计阶段修复一个缺陷的成本，只是在生产环境中修复它的一小部分，更远远低于处理一次真实漏洞及其法律和声誉影响的代价。从一开始就投资于把软件做得安全，不是一笔开支，而是一种节省：它避免了最昂贵的事件，并减少了维护工作。良好集成的安全还能提升软件的质量。

在AxiomTech，我们构建的软件从头到尾都内置了安全：威胁建模、流水线中的自动化分析以及依赖管理。如果你想让你的软件因设计而安全、而非靠补丁而安全，让我们聊聊，我们会为你提出下一步建议。