左移以改善安全效果TL；DR：在软件开发生命周期（SDLC）的早期将安全性向左转移，创建更有效、成本更低的安全控制，促进开发人员对安全原则和特性的所有权，并有助于降低组织的风险。左移是什么意思？左移是指在软件开发生命周期（SDLC）的早期关注安全工作。这些早期阶段包括早期开发人员和技术人员的意识工作，以及软件的安全设计、开发和部署。左移是软件开发和测试行业中的一个著名术语。它指的是在开发生命周期的早期对应用程序进行的安全性和非安全性特定的测试和评估。左移的思维方式帮助开发了一些值得注意的非特定于安全性的技术，如测试驱动开发（TDD）和敏捷方法。左转有什么好处？左移的明显好处是，对早期设计和开发阶段的关注会在后期阶段转化为更少的缺陷。左移是公认的降低缺陷修复成本的方法。事实上，修复代码缺陷的成本随着SDLC中发现和修复的每一个阶段而呈指数级增长。2019年Poneman研究估计，在早期开发过程中检测到的漏洞需要大约80美元的修复成本。但是，如果在部署到生产环境后检测到相同的漏洞，则需要花费大约7600美元进行修复。成本增加了9400%！值得注意的是，术语"左移"可能用词不当，因为它表示线性分阶段方法，而不是连续方法。实际上，软件是在一个无限循环中开发的，包括持续的设计、开发、修复、集成、交付和监视。持续发展生命周期因为无限循环中的每个阶段都是离散的和可识别的，术语"左移"仍然有助于理解在生命周期中早期移动安全性的工作。作为一种思维方式，大数据中心，左移既是一种培训开发人员的方法，也是一种更安全、成本更低的设计、开发和部署代码的方法。因此，虽然我们提到"左移"以确定我们的努力，但我们并不是在提倡放弃持续的开发和部署周期。Auth0如何在安全性中向左移动？SDLC早期对防御和预防性控制的关注包括Auth0的几个关键举措。这些举措包括改进静态分析安全测试（SAST）、创建和发布安全软件基准（SSB）以及开发安全冠军。安全团队正在改进Auth0上所有新的和现有的代码库的静态分析安全测试（SAST）。SAST工具自动执行特定于安全性的代码审查，并帮助识别和修复与安全相关的编码缺陷，这些缺陷直接转化为生产中可利用的缺陷。尽早发现这些缺陷在降低风险方面为组织带来了巨大的价值。SAST改进包括更好地跟踪到OWASP前10名和CWE前25名的缺陷，云服务器和服务器，以及改进与现有开发ide、源存储库和构建工具的集成。这些SAST工具既支持手动部署管道，也支持自动化管道，其中的控制可以集成到一个称为DevSecOps的模型中。DevSecOps有助于将安全性纳入软件开发工作流程的所有阶段，因此有助于避免安全瓶颈，因为安全检查是随着SDLC的各个阶段而不是仅在生命周期结束时运行的。DevSecOps公司安全软件基准（SSB）全面记录了在Auth0创建安全应用程序的期望和实现细节。SSBs可以作为团队评估应用程序安全性的基线。但是，它们的最大价值将是作为根据安全性最佳实践规划、开发和部署应用程序的早期生命周期指南。SSB在广度和深度上都很丰富，并且基于行业最佳实践，包括OWASP 10大主动控制。它们包括诸如安全编码技术、SAST工具集成指南、关于在静止、传输和内存中保护数据的期望、如何安全地创建生产构建以及如何与监控控件挂钩等细节。SSBs是一个用于评估和创建安全应用程序的持续工具。安全培训和意识团队为对安全感兴趣的Auth0开发人员运行一个指导计划。该计划的目的是帮助扩大和社会化的安全信息在开发团队和规模的安全操作。具有安全意识的开发人员充当安全倡导者，接受如何实现和解释SAST结果的培训和指导。安全倡导者还将与安全团队一起参加简报会，淘客推广怎么做，以帮助他们了解和社会化SSB。安全冠军有一个明确的晋升途径，包括学徒、中级和高级冠军标准，这些标准定义了Auth0中冠军的里程碑和成熟度。安全意识团队将结合SAST、SSBs和安全冠军计划，为节点.js开发商。此身份验证0节点.js安全开发人员认证扩展了当前实际操作的安全代码培训。认证包括一般安全概念培训，节点.jsSSBs中定义的安全编码指南、威胁建模、实施和解释SAST的最佳实践、风险评估、攻击性安全、安全架构、实践实验室和技能正式评估。安全团队将开始与我们的安全倡导者一起推出认证，从这些倡导者那里获得反馈，然后在Auth0中向我们的开发社区开放认证。我们还在应用左移来扩展我们的基础设施和云安全计划中的机器图像扫描功能。不是在部署后扫描图像，而是在创建图像时进行扫描。在创建映像时进行扫描可以为服务所有者提供早期反馈，因为他们会对已安装的软件包和版本做出决定。扫描服务可以通过API访问，因此可以作为开发生命周期的一部分进行自动化，并与漏洞管理工具和流程无缝集成。生命周期后期的努力是什么？Auth0有几个成功的生命周期后期工作，我们计划继续并发展，特别关注自动化。这些攻击和检测工作对于发现安全漏洞、检测和处理事件以及帮助团队在威胁环境不断变化时评估其应用程序的安全性至关重要。我们将继续提供我们的私人缺陷奖励计划，进行攻击性安全测试，通过我们负责任的披露计划鼓励贡献，并为安全设计提供威胁建模。我们鼓励提交我们负责任的披露计划，并将此披露计划作为我们私人缺陷奖励计划的切入点。防御和进攻计划不存在于真空中。相反，攻击性程序有助于告知我们的防御努力，安全行业称之为紫色和橙色的团队，其中紫色描述了防御者（如我们的检测和响应团队）如何从攻击者那里学习，什么叫云服务器，橙色描述了建设者（我们的开发人员）如何从攻击者那里学习。Auth0安全致力于不断改善我们的安全态势。通过采用"左移"，我们可以创建更有效、成本更低的安全控制，促进开发人员对安全原则和功能的所有权，并帮助降低组织的风险。这种方法以较低的成本为客户提供更安全的解决方案。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，高防云服务器，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体fami