當我們談網(wǎng)絡(luò)安全的未來時，應用開發(fā)安全是不可繞開的一環(huán)。

最近的一項行業(yè)研究顯示，它是過去一年增長最快的網(wǎng)絡(luò)安全技能。預計在未來五年內(nèi)，應用安全開發(fā)技能的需求將增長164%。相應地，該職位的空缺總數(shù)將從2020年的29635上升到若干年后的48601。

那么，到底什么是應用開發(fā)安全技能?它快速增長的原因是什么?

[[388666]]

應用開發(fā)安全有哪些技能?

首先，應用開發(fā)安全技能就是通過尋找和修復漏洞來加強應用的防御能力。這個過程通常在應用上線前的開發(fā)階段，但有時候應用上線后也需要。

除了應用安全測試(AST)，應用開發(fā)安全的技能還包括以下幾種：

• 靜態(tài)應用安全測試(SAST)。這種方法需要防御人員對應用的架構(gòu)有一定的了解。他們可以利用這些知識來報告源代碼中的弱點。
• 動態(tài)應用安全測試(DAST)。與SAST相反，DAST假定防御人員對應用程序的代碼完全不了解，其目的是在應用運行狀態(tài)中尋找潛在漏洞。
• 交互式應用安全測試(IAST)。這種方法是將SAST和DAST二者結(jié)合。

[[388667]]

為什么需要應用開發(fā)安全技能?

對應用開發(fā)安全技能的需求不斷增長，反映了兩個持續(xù)的趨勢。

• 世界正變得更移動化。企業(yè)和機構(gòu)在移動設(shè)備上投入更多，用戶也更習慣在移動端獲取服務。在這一過程中，企業(yè)需要具備應用開發(fā)安全技能的人來保護應用安全，以確保給龐大地用戶群提供安全地移動性能。
• 應用防御系統(tǒng)中的漏洞會削弱用戶和開發(fā)者之間的信任。這樣的漏洞在移動應用中很常見。2020年研究分析的iOS和Android應用中，有近四分之三的應用沒有通過基礎(chǔ)的安全測試。超過五分之四(83%)的受調(diào)查應用至少有一個漏洞，研究中91%的iOS應用和95%的Android應用都出現(xiàn)了漏洞

保障業(yè)務安全

這些漏洞對企業(yè)構(gòu)成了威脅。服務器端控制薄弱、數(shù)據(jù)存儲不安全、密碼被破壞等問題，相當于為外部攻擊者竊取信息敞開了大門。

潛在客戶可能會猶豫是否要與那些應用開發(fā)安全性差、遭遇數(shù)據(jù)泄露的企業(yè)合作。當然，合作的前提是，企業(yè)經(jīng)受了支付維修費用、支付法律費用和其他因泄密帶來的損失后還能繼續(xù)運營。

更有甚者，有些客戶可能沒時間來等你部署應用開發(fā)安全。客戶可能會表示，之前合作的應用和公司在面臨攻擊之前，就編寫好了更安全的代碼。在某些情況下，客戶帶來的壓力和監(jiān)管合規(guī)機構(gòu)帶來的壓力旗鼓相當。

這表明應用程序開發(fā)安全正成為一種手段，幫助企業(yè)在與客戶合作的初始階段就保持信任，而不是在問題公開披露造成不良后果之后。

開發(fā)人員的最佳實踐

工作環(huán)境中需要的防御技能也會隨著時間發(fā)生變化。開發(fā)人員的工具鏈中內(nèi)置軟件組件分析工具和防御測試，可能會在未來幾年內(nèi)取代舊的AST方法。

行業(yè)專家預測，到2022年，自動化解決方案將能夠修復SAST工具發(fā)現(xiàn)的10%的漏洞。

這些預測顯示了應用開發(fā)安全作為一個領(lǐng)域的發(fā)展趨勢。但它們并不影響開發(fā)者在開發(fā)安全應用程序時可以使用的基本實踐。例如，開發(fā)人員需要意識到，他們很少需要從頭開始編寫代碼。他們不必苛求自己做好防御工作。相反，他們可以使用安全框架來推動代碼進步。他們還應該確保他們使用的是第三方代碼或庫的最新版本。

開發(fā)人員也應該重視團隊合作的力量。他們可以與安全架構(gòu)師和運營團隊聯(lián)手，以進行安全威脅演練。這個過程不僅有助于發(fā)現(xiàn)和分流潛在威脅，還能促進溝通和相互理解，這是建立DevSecOps(開發(fā)、安全、運營)文化的基礎(chǔ)。

面向未來的應用開發(fā)安全

就像我們前面所說的，應用程序開發(fā)安全是企業(yè)未來生存的要素之一。將應用安全落實到位的工具和方法可能會發(fā)生變化，但安全的基本要素將在未來幾年乃至更長時間內(nèi)保持相關(guān)性。