4、应用安全：向左还是向右？

应用安全：向左还是向右？

1. 开发中的左右移位策略

在开发过程中，语言和设计的选择会对左移策略产生影响，测试同样如此。单元测试、质量保证（QA）测试、集成测试和系统测试都可用于在软件生命周期的早期识别安全问题，让开发团队有时间在产品投入生产环境之前修复这些问题。不过，这需要有合适的安全测试，理想情况下这些测试应该是自动化的，并且在发现问题时能及时提醒团队。同时，发现的问题不能被搁置在安全漏洞积压列表中无人处理。

左移策略涵盖了诸多方面，比如威胁建模、风险评估、创建滥用案例、使用开发工具以及提高安全意识等。毫无疑问，左移策略是为企业引入应用安全最具成本效益和可持续性的方法。

2. 左移策略的失败案例

在开发团队中，常常会指定一两名成员作为“安全负责人”（这里先不称他们为安全倡导者），大部分与安全相关的工作都会推给他们。这些人需要参加安全决策会议，对与安全相关的代码更改进行审查，为团队做出决策，还要负责漏洞管理的纠正或制定方向。而他们本身还有日常的开发或架构设计工作。他们可能并不想承担这个角色，只是被“自愿”安排了。这不仅对个人产生巨大影响，也会影响整个团队。这些人很快就会不堪重负，几乎没有休息或反对的机会。

这往往导致漏洞管理工作出现问题。当安全工具或渗透测试发现新的漏洞时，漏洞会被记录到缺陷跟踪工具中并分配给安全负责人。安全负责人不得不放下手头的常规开发工作，对安全问题进行分类并尝试解决。与此同时，又会发现其他多个漏洞，从而积累了前面提到的安全债务。这时，产品负责人、Scrum 主管或开发经理就会来询问为什么开发交付物延迟了。

过去有很多这样的失败案例。其中一个备受关注的案例是 Equifax 数据泄露事件，该事件