利用 Threat Stackapplication安全监控进行左扩展

开发人员总是处于过度劳累的状态。 他们面临着来自业务的持续不断的以功能为中心的工作，并且需要在这些工作与涉及性能、质量和可靠性以及技术债务的工作之间取得平衡。 虽然 DevOps 和高度自动化的 CI/CD 管道通过消除低价值的非开发任务提高了开发人员的工作效率，但实际上却加大了交付的压力。 根据2018 年 DORA Accelerate 报告： DevOps 现状报告显示，高绩效 DevOps 团队的代码部署频率比低绩效团队高 46 倍。 这对开发人员来说意味着更多的工作——令人高兴的是，这是更多影响深远的工作，但无论如何，工作量仍然更大。 

现在，安全行业告诉这些组织，他们需要“将安全左移”并拥抱 DevSecOps。 这意味着将安全责任转移到开发过程的早期，并将其纳入软件开发和交付的 DevOps 方法中。 从原则上来说这听起来很棒，但 DevSecOps 对话很少以建议雇用更多软件工程师开始。 那么，已经超负荷工作的开发人员除了承担功能、质量、性能和技术债务之外，还要如何承担安全负担呢？ 这并不是说他们不在乎；这只是时间问题。 在最近的 Threat Stack 报告中，44% 的 DevOps 专业人士表示他们必须依靠其他人来解决与安全相关的问题。 即使他们花了一些时间专注于安全问题，许多开发人员也缺乏如何提高其应用安全性的专业知识。 2016 年的一项研究发现，在美国排名前十的计算机科学课程中，没有一个课程要求参加网络安全课程才能毕业。 

对于许多开发人员来说，“左移”听起来很像“把更多的工作丢给我们”。

安全团队并非没有同情心。 多年来，他们一直感受到软件太多而安全覆盖太少的压力。 许多组织缺乏专门的应用安全团队，而即使有团队，人员也非常紧张。 根据BSIMM 的最新调查，拥有正式软件安全团队的公司平均每 75 名开发人员仅需配备一名安全团队成员！ 你可以肯定，单个安全专家不想成为阻碍 75 名开发人员实现向企业承诺的客户价值的人！ 在今年的 RSA 大会上， 40% 的受访者表示，实施应用安全计划的最大障碍是它们对应用开发或部署的灵活性和速度的影响。 

那么解决方案是什么？ 安全问题不能简单地转移到准备不足、工作过度的开发团队的积压工作上，但 AppSec 团队缺乏人力和 SDLC 访问权限，无法在流程早期解决应用风险。

我们最近将 Threat Stack应用安全监控（又名 AppSec 监控）引入到我们的全栈云安全可观察性解决方案中，作为 Threat Stack Cloud Security Platform® 的一部分（无需额外费用）。 AppSec Monitoring 旨在正面解决这些 DevSecOps 挑战。 我们相信，当我们满足以下三个目标时，DevOps 世界中的应用安全就可以实现：

1. 在流程的早期阶段创造机会解决应用安全问题
2. 为安全专业人员提供一种方式来帮助开发人员确定最有影响力的工作的优先顺序
3. 为开发人员提供所需的背景信息和培训，使他们能够在最少的帮助下降低风险

开发人员在开发开始时将 AppSec 监控作为依赖项添加到他们的应用中，就像任何其他第三方组件一样。 向应用添加了一行初始化函数，这就是启动所需的全部内容。 无需安装任何服务器或附加工具，也无需编写或管理测试。 每次应用运行时，AppSec Monitoring 都会在后台静默运行，因此开发人员可以继续进行开发工作而不会减慢速度。 从那时起直到 SDLC 的剩余部分，AppSec 监控继续在应用内部运行，以帮助团队保护和降低风险。