首页
社区
课程
招聘
[分享]在代码开发早期进行安全测试有哪些益处
发表于: 2021-9-26 10:22 7770

[分享]在代码开发早期进行安全测试有哪些益处

2021-9-26 10:22
7770

越来越多的企业已经意识到,在代码开发早期进行安全测试是有益的。那么,没有进行早期代码安全检测将会面临哪些问题?检测之后又有什么益处?

好处1:简化修补程序

在开发过程中经常会用到开源代码及其他开发人员创建的代码,这些代码在编写规范上或语义语法上存在的问题及风险是未知的。通过早期代码安全测试,可以帮助开发人员第一时间发现安全问题,减少自行查找代码问题的工作量。而且早期进行代码安全测试,存储库中的代码将是安全的,因为这需要开发人员在完成开发任务前解决安全问题,反过来,也降低了重新修补程序的次数。

好处2:加强开发人员安全意识

利用早期代码安全检测,可以避免开发人员提交包含缺陷的代码,降低系统漏洞风险。这也会让开发人员更加重视自己的代码是否安全。因为存在缺陷的代码将无法通过安全检测,强制性的提高开发人员的安全意识。

好处3:对开发人员进行安全知识教育

学校通常会教学生复杂的开发技能,但在代码安全上缺少强有力的培训。通过早期进行代码安全检测,可以利用检测报告的提示及解决方案,帮助开发人员对问题代码进行修正,避免以后产生同类错误,同时提高安全代码编写技能。

好处4:降低返工成本

如果开发人员不小心将严重的漏洞引入应用程序的新功能,而且这个漏洞没有被代码审阅者注意到,并且在SDLC的早期阶段没有自动测试,那么这个问题的严重后果是不可预测的。要消除此漏洞,就不得不延迟发布版本,同时把代码返回给开发人员,然后再进行QA测试,最后再将应用程序从头开始调试,付出巨大的精力和时间。

 

通过早期代码安全测试可以捕获大多数漏洞并及时被消除,减少因潜在风险导致的意外延迟,也避免在业务上造成重大损失。

好处5:避免过早暴露漏洞

有时为了确保版本及时上线而无法延迟,那么就不得不在发现漏洞后被迫继续发布这个版本。可想而知,向公众公开具有严重漏洞的软件有很大风险,同时也可能成为恶意黑客的下一个目标。尽管企业会选择Web应用程序防火墙(WAF)来暂时保护软件,但WAF保护并非万无一失。早期进行代码安全检测,团队不必担心在最后一分钟才发现问题,增强对软件版本安全的信心。

 

现如今,越来越多的开发人员在DevSecOps下,他们通常会在代码存储库(例如,在Git中)中创建一个私有分支,然后运行CI / CD作业(例如,在Jenkins中)来构建该私有分支。如果代码正确编译,则CI / CD作业将运行一系列QA测试:单元测试,功能测试,集成测试等。通常利用SAST和/或IAST / DAST等方式进行安全测试。

 

相较于IAST / DAST的检测方式,SAST(静态代码安全检测)是从源代码开始检测系统缺陷和漏洞,也就是说,静态代码安全检测方式能第一时间、以最直接的方式发现系统中存在的代码缺陷及系统漏洞,所以也可以说,静态代码安全检测在保护系统安全上首当其冲。在此基础上,后续再加上必要的DAST(动态应用程序安全测试)和Web应用程序防火墙(WAF)等手段,在保障网络安全上才更完备。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-10-9 16:28 被中科天齐编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
刚刚查了一下,这是NanoMQ的issue,不是emq( https://github.com/nanomq/nanomq/issues/205),这项目才发布半年,都没人用哪来的一亿物联网设备,不实新闻也转载?
2021-9-30 21:28
0
游客
登录 | 注册 方可回帖
返回
//