在过去的20多年里，同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而，许多企业仍然选择在漏洞发生后进行补救；在这一切的人为和商业影响中浑浑噩噩。但现在，一项新的研究指出了一个新的、由人主导的方向。

以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解，该研究题为 "从反应到预防。应用安全的变化"（2021年），探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.

在即将发布的研究中，开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。

• 在已部署的应用程序上使用扫描工具。
• 手动审查代码中的漏洞。
• 
  ，积极和持续地编写受保护的软件，以防止漏洞。

那么这告诉我们什么呢？在前三个回答中，有两个仍然集中在反应式方法上，第一个依赖于工具（扫描器），第二个依赖于开发人员（即人类）进行手动检查--在这两种情况下，都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工，这对项目的时间表和项目成本都有影响。

同时，在被提名的三项活动中，有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中，最能说明问题的是第3项，它确定了在编写软件时的人为因素，首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法，从软件开发生命周期的一开始就将安全纳入软件。 

反应性可能等于昂贵的

根据IBM的一项研究*，修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制，促使我们采取新的积极主动和更人性化的方法来捍卫软件安全，使开发人员从一开始就能更安全地编码。 

这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题，它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法，与开发人员的日常工作高度相关，并激发他们的学习欲望--目前的培训模式无法做到这一点。

为了创造一种积极主动的安全文化，需要新的培训，即。

• 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。 
• 鼓励开发者以安全的思维方式看待他们的日常编码任务 
• 使安全编码成为他们日常工作流程的内在要求
  

当这些线索结合在一起时，就能从一开始就防止漏洞的发生，使团队能够更快、更有信心地交付高质量的代码。好消息是，在软件开发过程中，已经有一个Learning Platform ，'从左边开始'--它已经赋予开发人员技能和工具，从一开始就创建高质量的代码。

‍

*IBM软件集团；尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html