漏洞界二八定律，過去20多年來的絕大多數(shù)安全事件都是頭部那10個(gè)軟件漏洞造成的。然而，很多企業(yè)仍然選擇事后補(bǔ)救，得過且過地承受安全事件造成的人員和業(yè)務(wù)后果。不過，當(dāng)前一項(xiàng)新的研究為我們指明了由人主導(dǎo)的新方向。

以下討論見解源于Secure Code Warrior與Evans DataCorp進(jìn)行的一項(xiàng)研究，題為《從響應(yīng)轉(zhuǎn)向預(yù)防：轉(zhuǎn)變中的應(yīng)用安全》，旨在探索開發(fā)人員對(duì)于安全編碼、安全代碼實(shí)踐和安全操作的態(tài)度。

研究中，開發(fā)人員和開發(fā)經(jīng)理被問及他們最常用的安全編碼實(shí)踐。以下三種方法最為突出：

• 在部署之后掃描應(yīng)用，找出異常或漏洞
• 仔細(xì)審查編寫的代碼，檢查是否存在異常或漏洞
• 重用之前通過審查確認(rèn)安全的代碼

開發(fā)人員仍將安全代碼實(shí)踐視為主動(dòng)式操作，但逐漸開始承認(rèn)這是個(gè)重點(diǎn)在從左側(cè)開始的人的問題。

我們能從研究結(jié)果中看出什么呢？三大常見安全編碼實(shí)踐中有兩種都依然重在響應(yīng)式方法，第一種依賴工具(掃描器)，第二種依賴開發(fā)人員(即人的因素)執(zhí)行人工檢查：兩種情況都是在代碼已經(jīng)寫好之后。采用這些方法檢測(cè)到的漏洞都得踢回開發(fā)團(tuán)隊(duì)返工，對(duì)項(xiàng)目時(shí)間線和項(xiàng)目成本產(chǎn)生連鎖反應(yīng)。

排第三的常見安全編碼實(shí)踐則是認(rèn)識(shí)到了主動(dòng)編寫安全代碼，在第一時(shí)間避免漏洞的好處。這一操作凸顯了向從左開始的轉(zhuǎn)變，這種預(yù)防性的主動(dòng)式方法在軟件開發(fā)周期伊始就將安全內(nèi)置到軟件中了。

響應(yīng)式就是昂貴的代名詞

IBM的研究表明，修復(fù)已發(fā)布代碼中的漏洞比在一開始就發(fā)現(xiàn)并修復(fù)漏洞要多貴30倍。巨大的價(jià)差有力刺激了業(yè)界采用更注重人的主動(dòng)式軟件安全防御方法，開發(fā)人員可以使用這種方法從一開始就編寫更加安全的代碼。

這就是所謂由人主導(dǎo)的防御。但要令開發(fā)人員開始關(guān)注安全，安全就必須成為他們?nèi)粘Ｋ伎己途幊痰囊徊糠帧＿@需要拿出與開發(fā)人員的日常工作高度相關(guān)的新型培訓(xùn)方法，激勵(lì)他們主動(dòng)學(xué)習(xí)，而當(dāng)前培訓(xùn)模式與開發(fā)人員的日常工作相關(guān)度不高，且無法促使他們主動(dòng)學(xué)習(xí)。

為創(chuàng)建主動(dòng)安全文化，新型培訓(xùn)模式應(yīng)當(dāng)：

• 讓安全編碼成為開發(fā)人員提升軟件安全技能過程中極具吸引力的積極體驗(yàn)
• 鼓勵(lì)開發(fā)人員用安全思維審視自己的日常編碼工作
• 使安全編碼成為開發(fā)人員日常工作流程的固有特質(zhì)

做到以上幾點(diǎn)，可以從一開始就防止漏洞出現(xiàn)，讓團(tuán)隊(duì)能夠信心滿滿地快速拿出品質(zhì)代碼。閱讀完整報(bào)告可以了解轉(zhuǎn)變中的軟件安全，獲悉關(guān)于企業(yè)如何阻止漏洞反復(fù)出現(xiàn)，并在整個(gè)SDLC中體驗(yàn)安全文化積極轉(zhuǎn)變的分析與建議。學(xué)習(xí)怎樣：

• 確保從SDLC一開始就考慮安全因素
• 采取由人主導(dǎo)的方法安全編碼
• 杜絕不良編碼實(shí)踐，收獲良好結(jié)果