详细内容或原文请订阅后点击阅览
在 bug 发布之前阻止它们:转向预防性安全
安全软件在编码开始之前启动。威胁建模、更安全的默认设置、依赖关系卫生和开发人员工作流程护栏可以帮助防止漏洞。
来源:ZDNet | 机器人新闻关注 ZDNET:将我们添加为 Google 上的首选来源。
ZDNET 的关键要点
软件有生命周期。 从一个想法的火花到编码、测试、部署、客户使用,再到最终的修订或退役,每条线路、模块和组件作为整体解决方案的一部分变得更加根深蒂固、更加巩固,因此如果以后出现问题,修复起来会更加困难。然而,我们经常仅根据后期使用情况来修复软件。在本文中,我们将讨论预防缺陷在部署之前影响生产的主动策略。
有两个术语是此方法的关键:源头安全和设计安全。这两个术语都指在软件生命周期的最早阶段将安全性和可靠性构建到代码中的过程。我们将重点关注如何将安全性设计到从需求和设计到编码、依赖项选择、构建管道、部署和维护的所有阶段。
另外:最好的零信任安全平台:通过快速、安全的访问控制保护您的网络边界
这种方法需要在整个生命周期中进行思维转变。我们可能会问:“我们多久才能找到并解决问题?”这仍然是一个有效的问题。但我们正在考虑更早地提出另一个问题:“我们的开发过程中存在哪些风险?我们可以在我们的设计、工具、模板、依赖项和审查中进行哪些更改,以便更少的风险首先到达代码?”
预防在代码之前开始
编码总是从期望结果的愿景开始。这个过程引发了设计阶段,设计师和编码员(有时是同一个人或多人)研究如何进行编码过程。正是在这里,在编写第一行代码之前,漏洞开始显现。
另外:人工智能在 2026 年造成前所未有的损害的 10 种方式