向左移位
向左移位
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
向左移位
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。