探索软件安全工程

应用程序安全心态需要成为软件工程实践的核心。正如良好的饮食习惯为我们的身体带来营养一样，良好的工程实践为我们的软件带来内部质量和免疫力，以帮助抵御未来任何不可预见的攻击。

这篇文章试图探索其中的一些想法和实践，这些想法和实践可以帮助开发人员或技术主管制作软件，并最终保护最终用户的安全。

左移方法

随着云原生应用程序的兴起，基础设施已成为软件应用程序的一部分。

开发团队（领导、软件开发人员、产品所有者）正在使用各种 CI/CD（DevOps）和 IaC（基础设施即代码）工具快速构建软件。在这种敏捷和不断发展的环境中，软件的安全性很容易被忽视。

在软件开发的早期阶段加入安全性通常是昂贵且耗时的。一种改进的方法是在需求形成时从一开始就包含安全功能。也就是说，可以通过用户故事来增强安全要求，以在快速开发环境中强调这些方面。

在开发周期的早期阶段使用攻击面分析有助于从一开始就识别并提供深度防御保护。在采用容器进行应用程序开发时，安全性是一个主要问题。

尽管容器的配置在确保安全方面发挥着重要作用，但它强调了通过遵循良好的编程习惯将安全概念应用到应用程序核心的必要性。

安全是一个复杂的领域，安全编码实践通常不是学术教学的一部分。尽管难以掌握全面的安全标准，但是了解如何将安全编码融入我们的开发习惯是很重要。

选择编程语言或框架：了解现有框架是任何软件开发项目中安全编码实践的起源。使用中的任何编程语言或框架的各种特性都需要分析，以便团队充分了解可能导致攻击的任何易受攻击的特性，例如当依赖劫持软件被用于攻击超过 35 个组织的供应链时。在使用任何框架或对现有框架有安全意识之前进行适当的研究，可以将相关的缓解方法付诸实践。
遵循基本编码标准：可以使软件应用程序具有内在的安全性。不正确的输入验证和不安全的直接对象引用预防(IDOR) 可能不会带来直接威胁，但它们有可能泄露应用程序中使用的内部信息或模式，并为系统带来严重的攻击。通过良好的编程标准和以安全心态进行的代码审查，可以轻松防止此类问题。
异常处理：在程序中记录错误场景（异常）是一种常见的做法。许多开发人员的常见做法是打印异常以进行调试并继续流程。
软件组合分析：它是现代软件应用程序中另一个必要的命令，这些应用程序是通过连接各种第三方或开源组件构建的。可以在使用任何第三方或开源库之前或同时进行适当的组件分析。易受攻击的组件、框架需要升级或更换为更安全的组件。