1. 传统安全实践面临着严峻的挑战

随着互联网应用、移动应用爆发式的增长，伴随而来的黑客攻击事件也是层出不穷。仅在过去的2015年里，被公开报道的数据泄露安全事件就有约3930起，将近7.36亿条数据被泄漏。显而易见的是，如果某家企业被爆出安全问题，对企业造成的影响不仅仅只是名誉、财务上的损失，还会遭受法律诉讼，陷入竞争不利的局面。安全已经是企业不可忽视的问题。

近年来，黑客攻击的趋势已经发生了显著的改变，由最初的针对网络、操作系统以及服务器的攻击，已经转变为针对应用程序的攻击。根据Garnter的调研报告显示，有将近80%的安全漏洞发生在应用层。为了应对新的安全威胁，企业也做出了各种尝试，例如为员工提供安全培训、设立安全规范文档、部署Web应用防火墙、建立安全监控中心、利用安全渗透测试寻找安全漏洞等等。

2. 为何安全漏洞如此难以消除？

为消除安全漏洞，企业采取了不少措施，然而一个不争的事实是，企业主要依赖于Web应用防火墙（Web Application Firewall，下文简称WAF）和渗透测试（或安全审计）。然而问题在于，这两种措施固然有效，但是也存在着明显的不足。

2.1 WAF是把双刃剑

WAF主要的职责是阻挡攻击，为开发团队争取修复漏洞的时间。换言之，只要应用中存在安全问题的代码没有被修复，漏洞就会一直存在，一旦WAF规则被绕过，或者配置不当，反而会将应用置于更高的安全风险当中。此外，误报和漏报始终是WAF无法彻底解决的问题，与此同时，随着应用规模的扩大，业务逻辑复杂度的增加，对于WAF的管理维护难度也在不断增加。

2.2 渗透测试让企业面临两难的境地

渗透测试确实能发现安全漏洞，但是也存在着明显的不足。首先是太晚才能得到安全问题的反馈，因为通常而言，渗透测试会被安排在产品上线发布之前进行，此时如果检查出安全漏洞，企业反而会面临两难的境地：修复安全漏洞之后再发布产品，或者强行发布包含安全漏洞的产品。同修复业务缺陷一样，修复安全漏洞也是越晚修复成本越高，开发团队需要投入更多的时间和人力，而这可能导致产品推迟发布，错失市场机会；如果强行发布含有安全漏洞的产品，又将增加被黑客攻击利用的风险。

2.3 抛开现象看本质，问题的根源在于缺乏高效的安全反馈机制

应用中的安全漏洞是在开发过程当中由于各种原因被引入的，然而回顾现有的安全措施就会发现，其中大量的措施发生在应用程序开发过程之外，例如WAF、安全监控发生在产品上线之后，渗透测试需要等待开发完毕后才能进行，而安全培训、安全规范只能起到预防作用。尽管各种安全措施都能为开发团队提供不同程度的安全反馈信息，然而问题在于，大量的安全措施都发生在开发过程之外，距离安全问题被引入的时间点之间有很长的距离，因此安全问题不能及时的反馈给开发团队。

3. 更好的解决安全问题

安全漏洞本质上是软件质量缺陷，安全性是软件质量的重要组成部分，而现如今应用安全面临的问题和多年以前软件测试面临的问题极其相似。当时人们在开发软件的时候，采取的做法往往是在软件开发临近结束之时集中性的进行测试，修复发现的质量缺陷，结果是当时的软件质量普遍不高，不少项目因此失败。

为了提高软件质量，开发团队采取了一些措施，例如将测试介入的时间点提前，尽早进行测试，甚至是先写测试后写实现代码，与此同时也大量采用自动化测试来加快测试执行速度，采用构建流水线持续关注软件质量，并且每位团队成员都对软件质量负责，而不再认为只是测试人员的职责。这些措施之所以能够显著提高软件质量，关键在于它们能够更加高效的为开发团队提供软件质量相关的反馈信息，使得开发团队能够基于反馈结果迅速进行改进。

   3.1 尽早获取安全反馈

越早获取到安全反馈信息，越有利于开发团队以更低的成本将其修复。一个反面例子是，安全问题在早期就已经引入了，但是只能通过后期的渗透测试才能暴露出来，安全反馈信息经历了很长一段时间才能反馈给开发团队。与其依赖于后期的渗透测试，不如在开发过程当中引入一些适当的安全实践，比如在分析业务需求的同时主动分析安全需求，将其作为质量验收标准在团队内明确出来，再比如，针对每次代码提交都对其进行安全评审、测试人员在测试业务功能的同时还对安全性进行验证。通过这种方式，使得团队能够尽快得知应用的安全状况，而不必依赖于很晚才能提供安全反馈的渗透测试。

3.2 通过自动化加速获取安全反馈的速度

从安全角度对代码进行的评审，以及测试人员主动进行安全测试等等手段都能更早的产出安全性的反馈信息，但是传统的安全测试、渗透测试主要是以手动的方式进行，造成的结果是需要耗费许多时间才能收集到安全反馈信息。更好的做法是，对于常规的安全测试可以借助工具以自动化的方式进行，不仅能够以更快的速度得到安全性反馈，还能在一定程度上弥补由于人员安全技能不足所造成的安全测试不够全面的问题。自动化带来的另外的好处是，它可以集成入CI服务器，从而让开发团队可以在CI流水线完成之后第一时间发现应用的常规安全问题，而不必等到上线前由安全专家来发现安全问题。

3.3 在开发过程中持续性的关注安全

收集安全反馈不是一次性的活动，高效的安全反馈机制和持续集成秉持相同的理念：除了尽早集成、尽快集成之外，很重要的一点就是让集成活动能够持续性的发生。类似的，对于建立高效的安全反馈机制而言，在能够尽早、快速的获取安全反馈的同时，还需要让这个反馈循机制在应用开发过程中持续的运行下去。

自动化使得开发团队能够更容易的做到对安全的持续关注。

----泰安软件开发----