在开发生命周期的早期进行软件安全检测，组织将获得巨大的收益。

对于多数开发人员来说，日常关注的并不是应用程序或软件的安全问题。尤其关于强制性的网络钓鱼培训、网络层防御等更是阻碍按时交付开发要求的障碍。然而，从安全角度来说，开发人员每天接触的代码中存在的缺陷，可能引起严重的安全问题。

关注安全问题需要从开发人员做起，当创建应用程序时，开发人员一方面要关注开发进程，另一方面就是安全。

安全左移

对于开发人员来说，开发成功的标准一般是什么?

功能化业务需求;

在最后期限内按时完成。

了解了这些标准，我们如何加入安全并不对它们产生负面影响?

答案是：左移安全性。

尽可能早的在软件开发生命周期(SDLC)中应用安全性检测，当在SDLC的开发阶段发现代码缺陷时，此时并非每个缺陷都是安全漏洞。然而当这些缺陷被恶意分子加以利用时，修复这些缺陷所需的时间、精力和金钱比在开发时发现要多得多。

现在有很多出色的静态应用程序安全测试 (SAST) 解决方案可以在开发人员编码时分析代码并实时提供补救措施。除了可以在IDE中使用，也能将SAST集成到开发人员自动化管道中，如Wukong静态代码检测系统。

面对Log4j漏洞，在处理第三方依赖关系时，也可以通过安全左移来解决。软件组成分析 (SCA) 扫描您的软件并编制材料清单 (BOM)，可以检测应用程序组件和正在使用的版本。当出现类似的安全问题时，通过这些自动化安全检测工具可以快速确定受影响的依赖项并制定下一步计划。

企业也可以主动采取其他措施来提高SDLC中的左移安全性：

创建应用程序安全标准并进行沟通;

为开发人员提供安全编码和激励课程;

与项目经理介绍安全要求，以便在新项目启动时共同协商安全问题。

当涉及到安全问题时，做好应对准备也很重要，但最大的胜利来自于这种左移的安全方法和你用它创造的积极文化。

文章来源：

https://www.darkreading.com/application-security/how-to-boost-shift-left-security-in-the-sdlc

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课