"安全左移 "，或许没有意义

文章预览

安小圈 第621期 “安全左移”   起源与挑战 在过去 5 年多的时间里，任何从事网络安全和软件开发工作的人，都不可避免地听到过 "安全左移 "这个词。 它与 DevSecOps 等概念的兴起不谋而合，重点都是将安全融入到整个 SDLC 中。安全左移是指将安全左移到 SDLC 早期的阶段，以便在生产阶段之前发现并修复缺陷。 支持安全左移的常见说法是：在 SDLC 早期修复缺陷的成本远低于在生产阶段的修复成本。 问题出在哪里？ 这种说法和支持这种说法的数据是建立在谎言之上的，或者至少是建立在从未证实过的非常可疑的来源之上的。美国网络安全和基础设施安全局（CISA）网络安全咨询委员会（CSAC）下属的一个小组提交的一份报告中提出了这一观点。详情如下： CISA 的报告指出，"安全左移 "节省成本的推测来源于一个自1980年代以来就不复存在的组织，且该 ………………………………