# 應用程式安全 應用程式安全 (AppSec) 介紹如何為開發工作負載的安全屬性進行設計、建置與測試的整體過程。您應該安排組織成員接受適當訓練,了解您的建置與發佈基礎結構的安全屬性,以及應用自動化來識別出安全問題。 採用應用程式安全測試做為軟體開發生命週期 (SDLC) 與發佈後程序中的常規部分,有助於驗證您可建立一套結構化機制,專門識別、修正應用程式安全問題,以及防止這些問題進入您的生產環境。 您的應用程式開發方法應該在設計、建置與操作工作負載期間納入安全控制。過程當中,可以調整程序,達到持續減少缺陷和最低技術負債。例如,在設計階段中應用威脅建模有助於提早發現設計瑕疵,修正更加簡單,成本節省更多,而不需要等到日後才能進行緩解。 解決瑕疵的成本與複雜性通常比過去在 SDLC 中來得低。最簡單的解決問題方法就是別讓問題發生,因此從使用威脅模型開始,有助於您專注在設計階段的正確成果。隨著 AppSec 計畫逐漸成熟,您可以自動化方式提高測試量,改善意見回饋對建置人員的準確性 (保真度),同時縮短安全審核所需要的時間。這些動作全都可以改善所建置軟體的品質,並且加快功能進入生產階段。 這些實作準則著重於四個領域:組織與文化、管道*的*安全性、管道*中*的安全性以及相依性管理。每個區域都會提供一組可實作原則,並針對設計、建置與操作工作負載的做法提供端對端檢視。 在 AWS 中,您可以使用許多方法來解決應用程式安全計畫問題。當中有一些方法依賴技術,而其他方法則著重在應用程式安全計畫的人員和組織層面。 下列問題著重於這些應用程式安全方面的考量。 | SEC 11:如何在橫跨應用程式設計、開發和部署的整個生命週期內融入安全屬性並進行驗證? | | --- | | 人員培訓、使用自動化測試、了解相依性,以及驗證工具和應用程式的安全屬性,有助於減少生產工作負載中發生安全問題的機率。 |