安全左移(Shift-Left Security)

Q: 安全左移(Shift-Left Security) 是什么?

把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。 它属于网络安全的 应用安全 分类。

Q: 如何防御 安全左移(Shift-Left Security)?

针对 安全左移(Shift-Left Security) 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

安全左移(Shift-Left Security) 是什么?

安全左移(Shift-Left Security)把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。

安全左移基于这样一个事实:缺陷(包括安全缺陷)越靠近引入点修复,代价就越低。具体做法包括:在设计评审中引入威胁建模,在 IDE 与每个 Pull Request 中运行 SAST 和 SCA,在 IaC 应用之前进行扫描,以及在构建期校验依赖和容器镜像。它是对运行时防御的补充而非替代,目的在于减少最终需要由运行时防御处理的问题数量和严重程度。要做好安全左移,需要快速准确的工具、良好的开发体验以及明确的责任归属,否则安全反馈会沦为噪音。

● 示例

01
为开发者配置 Semgrep 的 pre-commit 钩子,在推送之前看到扫描结果。
02
在 CI 中对 Terraform 运行 Checkov,阻止不安全的云配置。

● 常见问题

安全左移(Shift-Left Security) 是什么?

把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。它属于网络安全的应用安全分类。

安全左移(Shift-Left Security) 是什么意思?

把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。

如何防御安全左移(Shift-Left Security)?

针对安全左移(Shift-Left Security) 的防御通常结合技术控制与运营实践,详见上方完整定义。

安全左移(Shift-Left Security) 还有哪些其他名称?

常见的别称包括: Shift left, 前置安全测试。

安全左移(Shift-Left Security)

安全左移(Shift-Left Security) 是什么?

● 示例

● 常见问题

● 相关术语

● 另见