什么是应用安全性，它为什么重要？

Question

什么是应用安全性，它为什么重要？

Accepted Answer

**应用安全性**是保护软件免受**威胁**的实践——构建和维护能够抵抗攻击、保护数据并安全运行的应用程序。这很重要，因为安全漏洞会造成严重后果：数据盗窃、经济损失和信任破裂。

## 应用安全性的覆盖范围

```text
App security = protecting software and its data from threats throughout the lifecycle:
  → secure CODING (avoid vulnerabilities like injection, XSS)
  → AUTHENTICATION (who are you?) and AUTHORIZATION (what can you do?)
  → protecting DATA (encryption in transit and at rest)
  → input VALIDATION, secure configuration, dependency security, etc.
→ "Security" is a quality of the whole system, not a single feature.
```

## 安全性为何重要

```text
✓ Breaches are SEVERE — stolen data (personal, financial), financial loss, downtime
✓ TRUST & reputation — a breach damages user trust and the company's reputation
✓ LEGAL/compliance — regulations (GDPR, etc.) require protecting data; fines for failures
✓ Attacks are CONSTANT — apps are continuously targeted (automated attacks, bots)
→ Security failures are among the most costly and damaging problems software can have.
```

## 安全是每个人的责任

```text
→ Not just a "security team" concern — DEVELOPERS write the code that's secure or not
→ Build security IN (secure by design), don't bolt it on at the end
→ SHIFT LEFT — consider security throughout development (not an afterthought)
→ Defense in DEPTH — multiple layers (no single point of failure)
```

## 为什么这很重要

理解应用安全性以及它为什么重要是基础性的、广泛适用的知识，因为安全是软件质量的关键方面，忽视它会带来严重后果，而且它越来越成为所有开发人员的责任。

应用安全性——**在整个生命周期中保护软件及其数据免受威胁**，涵盖安全编码、身份验证和授权、数据保护、输入验证等——是整个系统的质量属性，而不是单个功能，理解这个广泛的范围是起点。

理解**安全为何重要**是必要的动力：漏洞**严重**（被盗的个人和财务数据、经济损失、停机时间），它们破坏**信任和声誉**，存在**法律和合规**要求（如 GDPR 等有违规罚款的法规），应用程序面临**持续攻击**（自动化和连续的）——使安全故障成为软件可能遇到的最昂贵和最具破坏性的问题之一。

理解**安全是每个人的责任**（而不仅仅是安全团队的——开发人员编写的代码可能安全也可能不安全），它应该是**内置的（安全设计）**而不是后加的，你应该**左移**（在整个开发过程中考虑安全，而不是事后补救），以及**纵深防御**（多层防护）很重要——反映了现代、正确的安全方法。

由于安全是具有严重后果的关键质量属性（漏洞、数据盗窃、法律责任、失去信任），并且越来越成为所有开发人员的责任（他们必须内置安全），并且理解应用安全是什么、它为什么重要，以及安全是每个人的责任这一原则是构建安全软件的基础，因此理解应用安全是必要的、广泛适用的知识——软件质量的基础方面，风险很高，越来越多地为所有开发人员所期望，是特定安全主题的基础，对于构建保护其用户和数据的软件至关重要。