2021年APP安全发展趋向的三大点总结


      经常看到一些安全公司画各种饼,说网络安全就业差距xxx万,听起来这个行业好像是蓝海,

实际上哪家公司雇用这么多安全技术人员?在一线和二线互联网公司,app安全工程师:开发工

程师=1:500应该是一位非常普遍的占比,乃至一些公司会更高,攻防只会是工作中的极少部分

,更多的是柴米油盐。在app的开发效率上,与之前发生了非常大转变 ,商业环境的变幻莫测

,为了支持新的业务,必须不断迅速开发新的app用程序的软件环境也发生了非常大转变 。
 
 
 
简单总结现在面临的困境:app数量、场景快速增加、功能反复周期短,原SDL流程不能融入

新的开发模式,在线发现许多 风险,直到被利用为止都没有感觉到。在小编近年来参与app

安全建设的过程中,有着深刻的感触,往往面对许多 app,有很多风险,有着深刻的无力感

。当出现问题时,其他人总是问或问自己,这种风险的原因是什么?为什么没有事先发现?

以后可以复盖吗?现在也许可以试着回答这个问题。
 
 
我觉得的app安全发展趋向,历经近些年的实践心得,在此讨论如何突破困境。最先,有关

DevSecOps,在其中许多 见解小编都认同,但与很多人的认知不同的是,SOAR、UEBA

等不是执行框架,而是将其视为方法论。在SDL阶段,许多 人在测量app安全建设的完成

度时,会以各个阶段是否复盖为基准,但这显然是假命题,100%的复盖度不存在于现实中。
 
 
小编认为,app安全的发展趋向有三点:
 
1、业务、产品、开发、测试、安全五者之间合作关系的转变 ,每个人都必须对app安全

负责.

 
2、安全风险的发现应融入开发-测试-配置的过程中,在上线前发现风险.
 
3、安全自动化(安全运行可持续化、安全流程自动化、风险感知自动化)。
 
 
仅从这些见解来看,DevSec的一些见解似乎有共同之处,客观事实确实如此,但DevSe

c需要再次强调的是方法和思想,我们可以学习其优点,不能照猫画虎。
分享: