本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:软件开发过程中的安全前置是确保软件安全的关键策略,但在实践中仍面临诸多挑战。为此,借鉴SDL和DevSecOps模型中将安全融入软件开发的各个阶段这一理念,建设安全能力与自动化工具链,构建软件开发安全管理体系,并通过建立软件开发过程中各阶段安全能力的关联来提升安全测试效率,在提升软件安全性的同时又降低了软件后期因安全问题而产生的维护成本,真正在软件开发过程中落实了安全前置的理念,并充分发挥了安全前置的作用。
关键词:软件安全;安全前置;软件生命周期
doi:10.12045/j.issn.1007-3043.2024.08.007
概述
随着数字化转型的持续推进,软件在日常生活和商业活动中所起的作用越来越重要。然而,如今软件安全事件的频繁发生,使得人们对软件安全性的关注度不断提升,对提升软件安全性的需求不断增强。软件安全也由原先的被动防御型安全逐步发展为当前主流的主动防御型安全,即在软件开发全生命周期的各阶段充分挖掘潜在的安全威胁,通过威胁建模、安全设计、安全测试等多个角度消减威胁和建立防御措施。这种强调在软件开发的早期阶段就考虑和实施安全措施,以确保最终的软件产品具有较好的安全性的行为被称为软件开发安全前置,或者被称为安全左移。通过实施安全前置,可以降低后期修复安全漏洞的成本,并提高系统的整体安全性。美国国家标准与技术研究所(NIST)曾发布了一份报告,报告指出,将安全性融入软件开发生命周期的早期阶段可以将漏洞修复成本降低到产品发布后的6~60倍,所以软件开发安全中的安全前置越来越受到重视。
