应用安全
应用安全(AppSec)
别称: AppSec, 软件安全
定义
一门围绕软件全生命周期开展的学科,通过设计、构建、测试与运营,使软件能够抵御滥用、篡改和未授权访问。
应用安全涵盖人员、流程与工具,旨在确保软件不存在可被利用的弱点,并能够在生产环境中自我防御。其范围包括威胁建模、安全设计、安全编码规范、代码评审、自动化测试(SAST、DAST、IAST、SCA)、依赖治理以及 WAF、RASP 等运行时保护。AppSec 团队与研发团队合作,将安全门禁嵌入 CI/CD 流水线,在修复成本最低的阶段及早发现漏洞。其目标并非追求完美,而是达到可接受的风险水平,在交付速度、攻击面与业务影响之间取得平衡。
示例
- 在 GitHub Actions 流水线中加入 Semgrep SAST 与 Snyk SCA 扫描。
- 在每次发布前对预发布环境运行 OWASP ZAP 的 DAST 扫描。
相关术语
安全软件开发生命周期(SSDLC)
将安全活动嵌入软件交付各阶段(需求、设计、编码、测试、发布与运维)的开发生命周期。
DevSecOps
一种将安全责任融入 DevOps 流程的文化与实践,使团队能够持续、高效地交付安全的软件。
安全左移(Shift-Left Security)
把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。
SAST(静态应用安全测试)
在不执行代码的前提下,对源代码、字节码或二进制进行自动化分析,以发现注入、不安全 API 或弱加密等安全缺陷。
DAST(动态应用安全测试)
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
OWASP Top 10
OWASP Top 10 — definition coming soon.