說明

自行開發的應用程式其弱點處理遠比其他弱點還困難，會受到開發團隊的能力及資源影響、會受使用的元件弱點影響、會受使用者需求影響，最後潛在的技術債成本會落在維護團隊，然後惡性循環，各種鬼故事層出不窮。

方式

常見的keyword有OWASP、SSDLC、DevSecOps以及最近SBOM，盡可能的做到Left-shift，規定好開發流程、盤點相關工具套件、盡可能讓弱點提早修改，其目的就是不要等到上線後才要修正，以避免鬼故事發生。

導了這些方案怎麼沒有改善，因為有了流程卻沒有Left-shift，為什麼沒有Left-shift，因為不夠資源做這些事，資安人員及資安工具於一開始就要進入開發流程，在自動化未完成前勢必會增加人力，不願意做的就當欠債，被追討時再補一下，一直輪迴。

靜態原始碼檢查搭配自動化，越早做效果越好，網頁弱掃是上線前最後一道把關，系統弱掃並不能取代網頁弱掃，其檢查測試的項目不足。

應用防火牆WAF是一個補償控制，主要防自動化攻擊腳本，人為是有可能繞過檢查。

統一規範也是很重要的一項，3組團隊3種開發平台，10個人10個開發方式，美其名讓成員用擅長的工具加速開發上線，事實就是疏於管理，造成維護難度，也導致修補完弱點的經驗無法回饋給其他人員。

在開發前規範好特殊字元限制、長度、輸入內容檢查以及加密，可以減少一半以上延伸的弱點問題。

結論

避免不良開發做法陷入技術債輪迴，疲於檢測及修補