# 應用程式安全 應用程式安全 (AppSec) 介紹如何為開發工作負載的安全屬性進行設計、建置與測試的整體過程。您應該安排組織成員接受適當訓練,了解您的建置與發佈基礎結構的安全屬性,以及應用自動化來識別出安全問題。 採用應用程式安全測試做為軟體開發生命週期 (SDLC) 與發佈後程序中的常規部分,有助於確保您可建立一套結構化機制,專門識別、修正應用程式安全問題,以及防止這些問題進入您的生產環境。 您的應用程式開發方法應該在設計、建置與操作工作負載期間納入安全控制。過程當中,可以調整程序,達到持續減少缺陷和最低技術負債。例如,在設計階段中應用威脅建模有助於提早發現設計瑕疵,修正更加簡單,成本節省更多,而不需要等到日後才能進行緩解。 解決瑕疵的成本與複雜性通常比過去在 SDLC 中來得低。最簡單的解決問題方法就是別讓問題發生,因此從使用威脅模型開始,有助於您專注在設計階段的正確成果。隨著 AppSec 計畫逐漸成熟,您可以自動化方式提高測試量,改善意見回饋對建置人員的準確性 (保真度),同時縮短安全審核所需要的時間。這些動作全都可以改善所建置軟體的品質,並且加快功能進入生產階段。 這些實作準則著重於四個領域:組織與文化、管道*的*安全性、管道*中*的安全性以及相依性管理。每個區域都會提供一組可實作原則,並針對設計、建置與操作工作負載的做法提供端對端檢視。 在 AWS 中,您可以使用許多方法來解決應用程式安全計劃問題。當中有一些方法依賴技術,而其他方法則著重在應用程式安全計劃的人員和組織層面。 **Topics** + [SEC11-BP01 應用程式安全訓練](sec_appsec_train_for_application_security.md) + [SEC11-BP02 自動化在整個開發和發布生命週期的測試](sec_appsec_automate_testing_throughout_lifecycle.md) + [SEC11-BP03 定期進行滲透測試](sec_appsec_perform_regular_penetration_testing.md) + [SEC11-BP04 執行程式碼檢閱](sec_appsec_manual_code_reviews.md) + [SEC11-BP05 集中化套件和相依性的服務](sec_appsec_centralize_services_for_packages_and_dependencies.md) + [SEC11-BP06 以程式設計方式部署軟體](sec_appsec_deploy_software_programmatically.md) + [SEC11-BP07 定期評估管道的安全屬性](sec_appsec_regularly_assess_security_properties_of_pipelines.md) + [SEC11-BP08 打造在工作負載團隊中納入安全所有權的計畫](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)