調(diào)研 | 開(kāi)發(fā)安全從左開(kāi)始而不是安全左移
在安全成為軟件開(kāi)發(fā)的有機(jī)組成之前,軟件公司和開(kāi)發(fā)團(tuán)隊(duì)還有很長(zhǎng)的路要走,但已經(jīng)有明顯的跡象表明,程序員和他們的公司都在更認(rèn)真地對(duì)待安全問(wèn)題。
安全培訓(xùn)公司Secure Code Warrior和市場(chǎng)調(diào)研公司Evans Data,調(diào)查了1200名活躍的軟件開(kāi)發(fā)者,調(diào)查發(fā)現(xiàn)只有14%的開(kāi)發(fā)者認(rèn)為應(yīng)用程序的安全性是他們的首要任務(wù),但有三分之二的人認(rèn)為,應(yīng)用程序的安全性在未來(lái)12到18個(gè)月將變得更加重要。
從左開(kāi)始而不是安全左移
secure Code Warrior首席執(zhí)行官兼聯(lián)合創(chuàng)始人Pieter Danhieux認(rèn)為,企業(yè)在將安全融入開(kāi)發(fā)文化方面取得了進(jìn)展,但仍面臨重大挑戰(zhàn)。
“結(jié)果令人鼓舞,因?yàn)殚_(kāi)發(fā)人員正積極期待軟件安全成為更高的優(yōu)先事項(xiàng)。然而,這里有一個(gè)必須克服的鴻溝。我們知道舊習(xí)慣很難打破,組織需要承擔(dān)起創(chuàng)造環(huán)境的責(zé)任,以促進(jìn)更好的代碼質(zhì)量和安全性。”
將安全性納入開(kāi)發(fā)流程仍然具有挑戰(zhàn)性。大約一半的開(kāi)發(fā)人員(48%)在知情的情況下發(fā)布帶有漏洞的代碼,另有19%的開(kāi)發(fā)人員認(rèn)為他們的一些項(xiàng)目存在已知漏洞。
開(kāi)發(fā)者列出了一些阻礙因素,來(lái)解釋安全性的缺乏。例如,四分之一的開(kāi)發(fā)人員(24%)沒(méi)有足夠的時(shí)間在項(xiàng)目開(kāi)始時(shí)將代碼安全整合進(jìn)來(lái),而19%的開(kāi)發(fā)人員認(rèn)為公司沒(méi)有一個(gè)統(tǒng)一的實(shí)施開(kāi)發(fā)安全的計(jì)劃。
“從開(kāi)發(fā)者的角度來(lái)看,開(kāi)發(fā)安全更多的應(yīng)該‘從左開(kāi)始’,而不是‘左移’,因?yàn)檎_開(kāi)始流程的最終責(zé)任是開(kāi)發(fā)者。”
更好的安全性意味著更少的返工量
開(kāi)發(fā)人員普遍理解,從長(zhǎng)遠(yuǎn)來(lái)看,更好的應(yīng)用程序安全性確實(shí)有助于提高團(tuán)隊(duì)的工作效率。超過(guò)一半的受訪者認(rèn)為安全編碼可以消除漏洞(53%)和錯(cuò)誤(52%),從而避免未來(lái)的返工。
此外,41%的開(kāi)發(fā)人員在他們的項(xiàng)目中把功能和安全放在同等地位,一半(49%)的開(kāi)發(fā)人員認(rèn)為安全編碼是一個(gè)基本目標(biāo)。
沒(méi)有開(kāi)發(fā)人員會(huì)故意創(chuàng)建糟糕的編碼或引入安全風(fēng)險(xiǎn),因此為了避免這種情況的出現(xiàn),需要向程序員展示正確的編碼方式,提供有意義的培訓(xùn)。但從此次調(diào)查結(jié)果來(lái)看,開(kāi)發(fā)安全的培訓(xùn)仍然不到位。30%的開(kāi)發(fā)人員希望看到培訓(xùn)集中在與他們的工作相關(guān)的更真實(shí)的示例上,而四分之一的開(kāi)發(fā)人員(26%)希望進(jìn)行交互式培訓(xùn)。
漏洞宿命論
調(diào)查還發(fā)現(xiàn),許多公司對(duì)安全程序或安全編碼的構(gòu)成缺乏定義。大多數(shù)公司(61%)使用的組件和庫(kù)已獲得許可使用,因?yàn)樗鼈儽徽J(rèn)為是安全的,同時(shí)幾乎同樣比例的公司在積極運(yùn)行分析工具,如靜態(tài)應(yīng)用程序安全測(cè)試(SAST)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)。
然而,漏洞永遠(yuǎn)存在,開(kāi)發(fā)人員也不可能杜絕所有的漏洞,這一宿命論令人感到沮喪,甚至?xí)绊懤^續(xù)努力、主動(dòng)保護(hù)代碼的動(dòng)力。但如果不安全的代碼被認(rèn)為是一種可接受的商業(yè)風(fēng)險(xiǎn),那么就需要對(duì)安全計(jì)劃進(jìn)行徹底改革,使其與現(xiàn)代威脅環(huán)境相適應(yīng),最終匹配客戶的期望以及網(wǎng)絡(luò)安全的相關(guān)政策合規(guī)和監(jiān)管。
報(bào)告地址:https://www.securecodewarrior.com/press-releases/secure-code-warrior-survey-finds-86-of-developers-do-not-view-application-security-as-a-top-priority
