应⽤程序的安全性和快速交付之间存在⽭盾，但由于应⽤程序代码缺陷和安全漏洞，我们正在⽬睹或 经历越来越多的攻击。据调查，软件安全漏洞占了⼤约47%的安全事故。 

与任何软件⼀样，Web应⽤程序也包含缺陷和错误。这种安全⻛险的⼀个主要来源是软件供应链，其 中开发⼈员使⽤开源和第三⽅代码，这些代码可能存在漏洞。这些漏洞可能会导致Web 服务器和应⽤ 程序⾯临⽹络威胁。尽管测试起着重要的作⽤，但仅靠测试是不够的。随着攻击者开发出复杂的⽅法 来利⽤ Web 应⽤程序漏洞，开发⼈员需要在整个软件⽣命周期中进⾏安全⼯作，以确保尽可能多的解 决应⽤程序中的缺陷和安全漏洞。

通过 SDLC 进⾏的⽹络安全实践

随着软件开发向云端转移，使⽤Web应⽤程序已成为企业的常态。但是，这也带来了新的安全挑战。 安全应置⼊安全软件开发SDLC 的所有阶段。

需求阶段的⻛险评估 

在概述软件需求时考虑安全规范，识别⻛险及其来源，分析它们可能造成的危害，并制订补救策略。

设计阶段的威胁建模 

在选择应⽤程序框架和体系结构时，审查设计，以避免漏洞和缺陷。通过深⼊的软件体系结构分析和 功能规范，可以实现威胁建模等策略，以排除不安全的设计和⻛险。

开发阶段的静态分析 

嵌⼊安全实践包括应⽤安全编码规范以确保创建⾼质量的代码，并通过静态分析进⾏代码审查。注意 来⾃开源库和依赖项的安全⻛险也⾄关重要。

测试阶段的动态/交互式测试

虽然代码分析从开发阶段开始，但测试阶段是SDLC中关键的部分，通过动态和交互测试，可以有效地 识别出在开发阶段被“逃⾛”的漏洞。 

部署阶段的安全性和配置评估

Web应⽤程序安全性不会在测试阶段结束。在进⼊部署阶段，定期执⾏评估来评估系统配置和安全控 制。如使⽤渗透测试、漏洞扫描或红蓝对抗等策略。

测试类型 

1. 静态应⽤程序安全测试 

通过由内⽽外的⽅法审计应⽤程序的源代码、字节码和⼆进制代码。通过静态分析，可以在不运⾏程 序的情况下访问框架、设计和实现⽅法，这就是俗称的“⽩盒安全测试”。在 SDLC 的早期实施，以便 在将代码添加到软件之前识别现有代码缺陷和安全漏洞。并可以定位到代码⾏数，便于及时修复。 通过⾃动化⼯作流程更快地实施针对⻛险的补救措施，以进⾏连续的代码扫描。可以随时随地查找缺 陷，从⽽使修复漏洞的成本相对较低。

2. 动态应⽤程序安全测试 

通过安全测试⽅法，从“由外⽽内”的⻆度评估应⽤程序; 审计应⽤程序及其相关结构，⽽⽆需查看源代 码，技术或框架。也被称为“⿊盒安全测试”，可识别 SQL 注⼊和跨站点脚本等安全威胁。此安全测试 ⽅法可以确定⻛险的优先级并规划修正策略，以降低⻛险。 

3. 运⾏时应⽤程序⾃我保护

通过漏洞扫描的⽅法，可在运⾏时环境中与应⽤程序⼀起运⾏，以验证传⼊的请求以确保应⽤程序安 全。它持续监视应⽤程序⾏为，并围绕应⽤程序提供必要的安全层。当检测到威胁时可以发出警报， 并通过终⽌⽤户会话来保护应⽤程序，即使⽹络受到损害。

在当前⽹络攻击⽇益增多的⼤环境下，积极防范安全⼗分必要。我们不能坐等攻击发⽣，攻击的后果 不仅包括经济损失，还包括声誉损失及客户流失，这可能需要更⻓时间才能恢复。

保护应⽤程序安全正在迅速成为企业的业务⽬标，因为这可能造成数据泄露并产⽣⻓期影响。通过在 应⽤程序开发及部署期间执⾏安全测试及策略，来提⾼应⽤程序的安全性，已成为保护⽹络安全的基 础⼿段。