打造拼写检查式安全

说实话，如果没有拼写检查的帮助，“separate”一定有很多人拼错了这个词。Word近20年的忠诚耐心重复。

在思考安全问题时，拼写检查的概念也很有启发性。现场纠正的好处非常大——在这个过程中立即发现错误。更大的好处是可以看到建议的修正方案，因为重复识别和修复过程是一个高度有效的学习工具。拼写检查可以提高自己，变得越来越突出。

传统的软件安全测试工作模式已经保持了很长一段时间。研发团队编写代码，直到发布一个完整的版本，然后将完整的应用程序投入测试；测试结果返回研发团队进行检查。

这是麻烦的起点。因为当测试结果返回时，研发团队已经进入了下一个开发周期。如果测试中发现的问题没有得到解决，他们必须暂停当前的工作，并将他们的想法转移到以前的周期，并进行调查和修复工作。一些测试工具携带着经常被误解的黑人历史，研发人员必须首先验证每个漏洞是否真的存在和可用。这给经常被进步驱使的研发团队带来了巨大的压力，往往忽视了安全，以赶上时间。

即使是安全培训（假设有培训，虽然根本没有更常见的现象）也是整体销售。研发人员被调出开发周期，参加各种课程或鼓励基于计算机的培训。随着千禧一代进入软件开发工作场所，随着敏捷软件开发 *** 的扩展，这种培训 *** 不再理想。千禧一代更喜欢零碎的快餐学习模式。

显然，软件安全测试和安全培训都需要范式转换。作为回应，许多制造商热衷于抛出一个令人困惑的术语：左转。这个词来自瀑布式开发图，其中左转表示在进入该过程之前已经嵌入了测试。但这些制造商中的大多数，左转只是调出与传统 *** 相同的测试过程“按钮”而已。

不完全是范式转换

左移可以放下，更好使用拼写检查安全技术植入安全。这些工具活跃在开发环境中，在编写代码的过程中进行漏洞检查，轻量级静态分析代码，并在源头上找到跨站脚本或SQL常见等常见问题。

此类工具的高级版本还提供教育材料，向开发人员解释发现漏洞的本质及其使用 *** ，并建议修复方案可用于清除漏洞。有些也将在开发人员确认后进行选择性的修复。这样，现场发现、解释和修复了漏洞。

这种 *** 的好处是显而易见的。

1. 如果实时发现漏洞，开发人员可以立即修复问题，而无需等待长时间的测试结果出来，然后重新启动项目进行修复。使用这些工具的企业已经见证了开发生产力15%的效率提高。这是由于在开发周期中断和修复前版软件时间的节省有报道称，节省了数千美元的维修费用。

2. 互动过程已经成为开发团队进行微学习的机会。这些工具教授了开发人员常见漏洞的本质，并提供了从他们的代码中清除漏洞的模板。触手可及的学习过程远高于传统的学习 *** 。最后，常见的错误从代码库中消失了。

3. 这些工具提供了开发团队安全准备的宏观视角，巩固了对员工及其安全代码性能的信息掌握。经理们可以看到开发模式，通过额外的培训或单一的指导来解决潜在的问题。可见性为改善现状和进一步提高生产力提供了机会。

目标非常明确——尽快发现问题，以便在源头上进行修复。虽然这些工具不能避免开发周期末端的全面静态和动态测试，但安全拼写检查应该能够在这些测试前捕捉到许多问题。这将使开发周期末端的测试更像是最终评估，而不是简单的漏洞测试。

成熟的企业应采纳混合式 *** ，将测试工具融入开发生命周期各个阶段。目标是早期发现并修复，摒弃开发生命周期的中断，用工具来提升开发人员的安全竞争力。

最终的结果将使更精明的企业脱颖而出。