维护数据隐私和增强竞争优势的秘密

被称为现代数字珍珠港攻击，网络勒索病毒的破坏是把焦点放在软件开发安全。

虽然疫情较之以前有了更严重的把控，但行业复苏可能会更加艰难，网络攻击变得越来越复杂。就在上个月，据 SolarWinds 报导，一家为超过 30 万客户提供服务的软件公司——包括美国政府机构和《财富》500 强中的绝大多数公司——被黑客入侵，黑客侵入其香港服务器，将恶意代码插入其专有软件猎户座的网络监控程序。

虽然细节仍在展开，但我们知道修补服务器遭到黑客攻击，并且被破坏的恶意软件文件被用来感染公司的 DevOps 管道。恶意软件文件随后被发送到每个香港服务器在下一个软件升级。

多达 18，000 名客户下载了包含恶意代码的软件更新。虽然这个传奇故事中有很多错误——从密码管理不善和无人监督的更新，到未能检测到入侵——但它带来了将安全性集成到软件开发生命周期中的重要性。

随着疫情期间数字技术的迅速普及，几乎每家公司都在从事软件和应用程序的构建业务。很明显，软件正在吃更多的世界，更快。随着几乎每个组织的数字足迹的增长，这种流行病实际上成为网络安全威胁成倍上升的催化剂。现在，每一条数据都是网络罪犯可能的杠杆或访问点。

这一事件提醒我们，技术领导者需要仔细研究代码级别引入的漏洞，并找到在应用程序开发生命周期的早期引入安全性的方法。我们分享了在 2021 年采用流程并更快地发布安全、高质量的软件的 3 种方法。

1. 将安全性向左移动

通过将安全性向左移动，开发、安全和操作团队可以确保从项目开始时达到安全标准，而不会减慢交付速度。当软件团队在 SDLC 中推进安全性时，会测试更多的代码，简化安全审查，减少团队之间的摩擦，并且由于疼痛点和瓶颈的识别和解决更快，企业更有可能最终获得安全产品，并按时交付。

开发后解决任何潜在的漏洞会消耗太多时间，并成倍增加安全问题的风险，这可能会造成极其高昂的成本，并损害公司的声誉。

2. 放大连续反馈

反馈循环是分析和优化软件交付过程的有力方法。时间越短，就越能降低风险，提高质量，确保对变革做出更好的反应。实施 OODA（观察、定向、决定、行动）循环可以创建一个连续的反馈循环，使各方对可能发生的任何安全事件负责，并在发生此类漏洞时轻松补救。

3. 自动安全，包括您的数据

大多数人认为安全是导致延误和挫折的瓶颈，但为更好的安全提供了巨大的机会。 附带的许多实践，尤其是自动化，使公司能够将安全性整合为其流程的关键组成部分。随着更多测试的自动化，由于人为错误而引入安全缺陷的风险降低。测试效率更高，过程是一致和可预测的。

同样，从数据的角度来看，负责任的数据管理要求组织实施保护栏，以减少其处理敏感数据不当的机会，包括识别和混淆数据的自动化工具。在数据离开开发人员手中之前，必须进行适当的数据屏蔽，因为人类和系统将不可避免地失败。

最后，自动监控系统的威胁也可以是有价值的，因为它们提供实时警报，然后团队可以轻松协作，并允许授权的更新流向合适的人。