應用程式安全

應用程式安全 （AppSec） 說明您設計、建置和測試所開發工作負載之安全屬性的整體程序。您應該安排組織成員接受適當訓練，了解您的建置與發佈基礎結構的安全屬性，以及應用自動化來識別出安全問題。

將應用程式安全測試作為軟體開發生命週期 （SDLC） 和發佈後程序的常規部分，有助於確保您擁有結構化機制，以識別、修正和防止應用程式安全問題進入生產環境。

您的應用程式開發方法應該在設計、建置與操作工作負載期間納入安全控制。過程當中，可以調整程序，達到持續減少缺陷和最低技術負債。例如，在設計階段中應用威脅建模有助於提早發現設計瑕疵，修正更加簡單，成本節省更多，而不需要等到日後才能進行緩解。

解決瑕疵的成本和複雜性通常較低，您越早在 中SDLC。最簡單的解決問題方法就是別讓問題發生，因此從使用威脅模型開始，有助於您專注在設計階段的正確成果。隨著 AppSec 程式的成熟，您可以增加使用自動化執行的測試量、改善對建置者的意見回饋保真度，並減少安全審查所需的時間。這些動作全都可以改善所建置軟體的品質，並且加快功能進入生產階段。

這些實作準則著重於四個領域：組織與文化、管道的安全性、管道中的安全性以及相依性管理。每個區域都提供一組您可以實作的原則。 end-to-end並提供如何設計、開發、建置、部署和操作工作負載的檢視。

在 中 AWS，您可以在解決應用程式安全程式時採用多種方法。當中有一些方法依賴技術，而其他方法則著重在應用程式安全計劃的人員和組織層面。