開發人員需要什么來對抗常見漏洞
當今的威脅形勢在不斷演變,現在每個部門的組織和企業比以往任何時候都更迫切需要始終如一地生產和維護安全軟件。雖然一些垂直行業——例如金融業——在一段時間內一直受到監管和合規要求的約束,但我們看到美國、英國和英國等最高級別政府對網絡安全最佳實踐的關注正在穩步增加。澳大利亞最近都在強調在 SDLC 的每個階段進行安全開發的必要性。
盡管如此,攻擊者仍在不斷尋找新的方法來繞過最先進的保護和防御。例如,許多人已經將他們的重點從交付惡意軟件轉移到破壞 API 或對供應鏈發起有針對性的攻擊。雖然這些高級別事件的發生頻率要高得多,但更簡單的攻擊(如跨站點腳本和 SQL 注入)也是如此,這兩種攻擊幾十年來一直是網絡安全防御的禍害。就在上個月,WooCommerce WordPress 插件中報告了一個嚴重的 SQL 注入漏洞,嚴重程度為 9.8/10。
越來越明顯的是,雖然網絡安全平臺和防御是防御現代攻擊的關鍵組成部分,但真正需要的是可以無漏洞部署的安全代碼。這需要有安全意識的開發人員采取行動,有意識地、堅定地提升安全編碼標準。
許多開發人員表示他們愿意擁護安全并致力于更高標準的代碼質量和安全輸出,但他們不能單獨做到這一點。我們不能忽視開發人員在與常見漏洞作斗爭時的需求,他們需要合適的工具和培訓的支持,以及改造他們的雇主和組織通常用來評判他們的傳統指標。
為什么大多數開發人員尚未將安全放在首位
編碼最佳實踐多年來不斷發展,以響應業務需求和市場趨勢。過去,大多數應用程序都是使用所謂的瀑布開發模型創建的,在該模型中,軟件工程師努力讓他們的代碼準備好滿足一系列正在進行的里程碑或目標,然后再進入下一階段的開發。Waterfall 傾向于支持程序的開發,這些程序已經一路滿足了所有先前的里程碑,并且在為生產環境做好準備時沒有錯誤或操作缺陷。但按照今天的標準,它的速度慢得令人痛苦,有時從開始一個項目到到達終點線之間需要 18 個月或更長時間。如今,這在大多數公司都行不通。
敏捷方法傾向于取代瀑布方法,更加強調速度。緊隨其后的是 DevOps,它通過將開發和運營結合在一起來提高速度,以確保程序幾乎在完成最終開發調整后就可以投入生產。
隨著業務環境的發展,將速度置于安全之上,以及功能之外的幾乎所有其他方面都是必要的。在基于云的世界中,每個人都始終在線,數以百萬計的移動交易每隔幾秒鐘就會發生一次,盡快部署軟件并進入持續集成和持續交付 (CI/CD) 管道是關鍵任務對于企業。
這并不是說組織不關心安全性。只是在大多數行業存在的競爭激烈的商業環境中,速度被認為更為重要。能夠達到這種速度的開發人員蓬勃發展,以至于它成為判斷他們工作績效的主要手段。
現在高級攻擊正在急劇增加,部署易受攻擊的代碼正成為一種負擔。這種偏好再次發生變化,安全性越來越成為軟件開發的主要焦點,速度緊隨其后。事后加強安全性不僅危險,而且還會減慢軟件部署過程。這導致了DevSecOps方法的興起,該方法試圖將速度和安全性結合在一起以幫助生成安全代碼,并將安全性視為共同責任。但是,如果沒有組織的大力支持,受過純粹速度訓練的開發人員無法在功能上具備安全意識。
開發人員需要什么才能真正對減少漏洞產生影響
好消息是,大多數開發人員希望在開發過程中看到轉向安全編碼和重新確定安全性的優先級。今年早些時候,Evans Data 對全球 1,200 多名積極工作的專業開發人員進行了一項綜合調查,絕大多數人表示他們支持創建安全代碼的概念。大多數人還希望它成為他們組織中的優先事項。然而,只有 8% 的受訪者表示編寫安全代碼很容易實現。這在大多數組織的開發團隊中留下了很大的改進空間,在需要什么和達到目標所需要的東西之間。
簡單地要求安全代碼不會完成工作,如果不努力培養正確的技能和意識,這將對他們的工作流程造成高度破壞。開發團隊需要存在于培養他們的安全思維并促進共同責任文化的環境中。
最需要的是為他們提供更好的培訓,其次是幫助使安全編碼成為他們工作流程的無縫部分的工具。并且該程序應該是定制的,以便經驗不足的開發人員可以通過學習如何識別經常潛入代碼的常見漏洞類型來開始他們的培訓,并提供大量實踐學習和示例。同時,展示其安全技能的更高級開發人員可以承擔更復雜的錯誤甚至高級威脅建模概念的任務。
除了資助和支持培訓計劃,包括讓開發人員有足夠的時間遠離編碼以便正確參與這些計劃,組織還需要改變評估其隊列的方式。獎勵開發人員的主要指標需要從原始速度轉變。相反,評估可以獎勵那些能夠創建沒有漏洞或漏洞利用的安全代碼的人。是的,速度也可以是一個評估因素,但首要的是,代碼需要安全,現代開發需要開辟一條道路,讓速度安全不再是神話。
運送不安全或易受攻擊的代碼不應成為可接受的業務風險,事后加強安全性變得越來越無效。值得慶幸的是,對抗這種令人不安的趨勢的最佳武器是讓開發者社區生成攻擊者無法利用的安全代碼。大多數開發人員都愿意迎接這一挑戰;給予他們支持以實現它。
注意 —本文由 Secure Code Warrior 的首席技術官兼聯合創始人 Matias Madou 撰寫和貢獻。
