開發和部署不當的項目將會使企業容易受到網絡攻擊，因此需要致力于清除技術債務。根據Proofpoint公司發布的《2021年首席信息安全官之聲》報告，三分之二的首席信息安全官認為技術債務(即項目所需內容與最終部署內容之間的差異)是導致產生安全漏洞的重要原因。

[[408087]]

應用程序安全平臺提供商Contrast Security公司首席技術官Jeff Williams表示，大多數技術債務都是通過在將架構、代碼質量、性能、可用​​性以及最終的安全性等關鍵方面擱置時而造成的。他解釋說，“許多大型企業在其漏洞管理系統中存在數萬或數十萬個已發現但未修復的風險。”許多行業組織都有一種想法，“就是資金不足的安全工作加上風險管理可能與實際完成所需的安全工作一樣好”，但這是一種錯誤的想法，這可能會使企業及其合作伙伴受到重大傷害。

為了最大限度地減少技術債務對安全的影響，首先要了解執行不力的項目可能為網絡入侵者和攻擊者提供攻擊機會的各種方式，以及如何快速安全地彌補發現的漏洞。以下是技術債務可能成為首席信息安全官需要解決的問題的7種方式：

1. 狡猾的軟件

美國卡內基梅隆大學海因茨信息系統與公共政策學院信息系統教授Rahul Telang指出，技術債務是一個被過度使用的術語。他解釋說，“這意味著企業的技術和產品在現實和目標方面出現了一些差距，現在必須償還債務。不難想象，除非迅速償還債務，否則會增加安全風險。”

Telang指出，首席信息安全官應該意識到，每個軟件開發項目都會經歷一些階段，隨著時間的推移，必須重構代碼以解決潛在的安全漏洞。他表示，首席信息安全官必須有一個適當的結構在部署之前檢測可能的問題，因為當產品已經推出并使用時很容易忽略這些問題。

DNS和流量管理技術開發商NS1公司首席信息安全官Ryan Davis認為，軟件造成的技術債務帶來最大的業務安全風險。他說，“這包括源自企業外部的項目，例如語言、第三方庫和軟件內置的其他組件，以及由內部開發人員編寫的代碼。”

軟件會隨著時間的推移而老化，并且需要定期發布補丁以解決錯誤和安全問題。但是最終，所有軟件都將在其不再受到開發者的支持時進入生命周期結束階段。不幸的是，在某些情況下，可能很難淘汰軟件產品，這是由于其開發者或者放棄了該產品，或者開發商倒閉。在發生這種情況時，繼續運行遺留的軟件可能會產生危險的技術債務，因為網絡入侵者和攻擊者可能已經發現了利用這些軟件的新方法。其結果可能是毀滅性的。Davis說，“我們已經看到許多真實世界的例子，表明某種軟件的安全狀況將會對全球各地的企業帶來的影響。”

2. 治理不力

強有力的治理對于防止技術債務成為安全問題至關重要。商業和IT咨詢機構West Monroe公司網絡安全實踐主管David Chaddock認為，確保資產的生命周期問題在其初始設計和實施過程中得到解決非常重要，其中包括長期運營成本和減少所需的支持資源系統突然或逐漸成為安全問題。他說，“這就要求安全團隊盡早參與設計過程。”

3. 戰略一致性差

全球業務和IT外包商Guidehouse公司網絡安全解決方案主管Eugene Okwodu建議，首席信息安全官應該了解企業內部的技術債務，并制定正確的指標來管理它。他補充說，“首席信息安全官還應該將所需的技術更新成本納入他們的預算。”

當IT和網絡安全策略發生沖突時，經常會出現技術債務。Okwodu觀察到，為了確保充分協調并解決沖突，可能有必要與內部項目管理辦公室(PMO)合作或尋求外部幫助。

4. 忽視或延遲現代化

在某些情況下，技術債務可能需要數年時間才能顯現出來。Okwodu說：“無論是硬件還是軟件，老化陳舊的技術都會帶來很大的安全風險。”他解釋說，這些技術不僅在某些情況下無法更換和修復，而且通常相互關聯性更高，目前的員工對它的了解也更少。

Okwodu說：“數年甚至數十年的變通、更新、升級以及并購活動可能會使技術債務問題特別嚴重。技術債務需要實現成本高昂的系統現代化，特別是在軟件系統中，再加上當今勞動力中不太常見的專業知識，對于企業都會構成重大的安全風險。”

5. 未能采用良好的開發實踐

DevSecOps不僅僅是一個流行術語。當應用良好的開發實踐時，許多安全問題都可以得到解決和控制。技術培訓商Infosec Institute公司首席安全研究員Keatron Evans建議說，“從開發項目一開始就堅持正確的DevSecOps原則，并堅持控制有助于可視化安全漏洞的指標。”

隨著應用程序的發展，它們通常變得更加有用和廣泛使用。然而，這些屬性也可能使安全漏洞更難修復或緩解。Evans說，“從長遠來看，導致一段代碼增長并變得高效、有用和有價值的能量也會導致被忽視的安全問題變得更具顛覆性。DevSecOps在軟件開發生命周期的每個階段自動集成安全性，有效防止突然出現的漏洞。”

6. 延遲測試

將軟件安全測試推遲到開發后期階段可能會導致漏洞的產生，而這些漏洞的糾正可能困難、耗時且成本高昂。DevOps咨詢服務提供商NextLink Labs的首席信息安全官Jeremy Dodson警告說：“將測試延遲到流程結束可能會導致大規模的重新開發工作以解決安全問題，這可能意味著利潤損失和開發時間顯著增加。”

Dodson表示，安全應該是一項協作努力。他說，“首席信息安全官對于在企業內部創建安全文化至關重要，特別是對于開發團隊態度的轉變可以顯著有助于在整個設計和開發過程中整合安全措施。”

7. 失控的復雜性

低代碼應用程序開發平臺提供商OutSystems公司平臺戰略高級總監Barry Goffe表示，技術債務的一個主要原因是依賴過多的開發語言、工具、平臺和框架。他說，“復雜性帶來了出錯的機會，而這種風險的疊加使得識別這些錯誤何時發生變得更加困難。即使發現了問題，復雜性也會使修復這些漏洞變得更加困難。”

Goffe說，“復雜性本身并不會帶來安全漏洞，但它肯定會增加漏洞發生的可能性，并增加防范漏洞的成本。鑒于復雜性是技術債務的主要原因，標準化和簡化應用程序開發工具和基礎設施的努力可以為最大程度地減少技術債務的產生帶來巨大收益。”

Goffe將技術債務視為風險驅動因素，也是阻礙創新和安全的主要因素。隨著企業在發生疫情之后致力于將其運營的業務恢復正常，現在是解決多年來快速建設所造成的障礙和安全風險的時候了。Goffe總結說，“企業解決的技術債務越多，他們面臨的安全風險就越少，創新能力就會越強。”