浅谈安全“左移”，2022年的趋势

未来虽然无法预知。但某些事情的发展方向已经显而易见了。我们可以看到 2022 年出现的一个新的趋势－安全 “左移”。

为什么这么说？因为这件事情现在时机已经足够成熟。

还记得瀑布开发方法吗？瀑布是一种软件开发方法，它将软件开发生命周期 (SDLC) 过程分解为线性、连续的步骤。在这种现在已经过时的方法中，安全测试被降级到最后，通常在生产环境部署之前。虽然多年来它一直是一种流行的方法，但在今天，它已经脱节了，部分原因是项目生命周期的后期才能看到结果。这种缺陷推动了向敏捷开发流程的转变，因此诞生了一种以 DevOps 为中心的方法论，其中安全测试（以及其他元素）被左移到 软件开发生命周期的开始阶段，在软件开发的整个过程中迭代的执行，而不是仅在生产上线前那一刻。

下面我们将具体讨论一下什么是安全 “左移”，以及安全“左移”带来的优势有哪些。

什么是安全 “左移”？

传统上，安全检测一般只有在必要时才需要开展。比如，当企业需要遵守SOC 2来完成交易时，解决安全性要求就成为当务之急。如果一家公司需要ISO 27001来吸引新的投资者，那么安全就必须得到加强。

这种“事后诸葛亮”的心态将安全合规视为需要跨越的一大障碍。如果你跳得不够高，很快你就会摔倒在地。

但问题是，如果从正确的角度来看，安全合规可以成为增长的驱动力。更具体地说，一个全面的安全合规计划，它主动考虑到公司的增长方向，本身就鼓励增长，而这个基础就是安全左移。

将安全左移意味着将安全检测以一种无缝且不可见的方式注入整个业务发展结构中——进入业务的基础。这并不意味着安全合规只是早期嵌入到业务流程中。而是安全合规性始终存在于业务流程的每个步骤。当安全合规检测嵌入到企业的系统开发和整体安全中时，企业可以快速响应，同时保障整个流程中的安全性和合规性成熟度。

安全左移的优势减少摩擦

在早期阶段将安全合规政策和程序融入业务流程，可快速发现存在的问题，从而更容易早期介入，解决问题，从而减少摩擦。安全合规性是一个持续的过程，可以鼓励最佳实践。

减少浪费

安全合规左移可减少资源浪费。持续检测可以更快地发现和修复错误，而不会浪费时间和精力。此外，无需重新启动整个过程即可识别漏洞，从而避免代价高昂的重新配置。这种方法还避免了在产品研发结束时检测安全合规性时出现瓶颈。这种方法使安全合规更容易实现，更具成本效益，同时释放资源。

促进信任

安全“左移”可以代表企业认真对待安全合规问题。当安全合规贯穿整个业务流程时，客户会更加放心容易产生信任。响应 RFP 中的安全要求；提前遵守行业标准；不断改进安全流程以适应不断发展的业务流程。这种模式可以建立客户对企业信任。

更简单，更灵活

安全在整个业务流程中持续进行，使企业可以考虑可能意外出现的变量，然后及时做出响应。因此，如果客户需求变更，或者需要适应新的业务环境时，这些改变更容易被整合。因为左移使安全合规变得更加灵活，所以当情况发生变化时，企业可以更快地做出响应。

推动增长

通过左移，企业可以更轻松地把握增长机会，因为他们可以随时掌控业务中的安全合规情况。将安全合规融入业务结构中，当机会来临时，企业随时准备就绪

安全合规左移是 2022 年的趋势

传统的安全合规方法越来越不能满足业务需求。2022 年是企业加强合规同时帮助其业务发展实践的好时机。借助支持业务功能，将安全合规左移是一种趋势，时机已到。是的，瀑布模型看起来非常漂亮。但企业应考虑在 2022 年将安全合规向左转移。

关于HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和K8S容器云安全检测。

访问项目地址: ​​https://github.com/HummerRisk/HummerRisk​​