為應用開發團隊創建并執行最佳安全實踐并非易事。軟件開發者在編寫代碼時未必會將這些安全實踐考慮在內，而且隨著應用開發環境變得愈發復雜，保障應用安全在應對云計算、容器和應用程序編程接口（API）連接方面面臨著更大的挑戰。

在Veracode年度軟件安全狀況報告中所掃描的應用程序中，80%都發現了安全漏洞，其中大多數涵蓋了多年來一直存在于網絡應用程序中的常見問題。Akamai最新的《互聯網安全狀況報告》分析了通過其基礎設施的流量后發現，2023年第一季度至2024年第一季度期間，針對應用程序和API的網絡攻擊激增了49%。應用程序和API需求的指數級增長已使它們成為威脅行為者眼中有利可圖的目標，這些威脅行為者試圖利用安全漏洞，未經授權訪問那些高價值的數據。

幾十年來，軟件開發者目睹了為應對這些趨勢而提出的各種安全舉措，例如“安全設計”“深度防御”“左移”“開發安全運營一體化（DevSecOps）”等冠冕堂皇的概念。但不安全應用程序的問題依然存在。這是因為哪怕一個制作欠佳的應用程序都可能為企業的整個網絡大開方便之門，進而導致大規模的數據泄露。

關注并盡量規避以下5個軟件開發者常犯的安全錯誤，有助于防止可能對企業安全產生重大影響的不良決策：

1.不良的輸入控制

編寫任何代碼都始于了解需要哪些數據輸入，這意味著要關注應用程序如何使用這些輸入。對這些輸入幾乎沒有采取任何控制措施，是跨站腳本或SQL注入攻擊發生的原因，因為這些攻擊手段利用了寬松的輸入控制。

“一種非常常見的做法就是缺乏或不正確的輸入驗證。”正在撰寫第二本應用程序安全相關書籍、且就此主題提供多年咨詢服務的Tanya Janca表示。

為何仍有應用程序沒有適當的輸入控制呢？其中一個原因是，開發者通常在編寫應用程序時為簡化測試而未設置控制措施，而后又忘了回頭檢查自己的工作；另一個原因是，很多開發者開始并沒有把重點放在安全方面，而這正是安全“左移”運動興起的根源所在。

專家認為，要確保準確的輸入驗證，確保數據在語法和語義上都是正確的，以及后端輸入得到正確的驗證和清理。

美國網絡安全與基礎設施安全局（CISA）最新的最佳實踐建議產品應系統性地強制執行參數化查詢，并將命令輸入與命令本身的內容分離開來。

2.糟糕的身份驗證和寬松的權限管理

應用程序中缺乏可靠的身份驗證和基于角色的權限管理并非新問題，但應用開發團隊在急于開發并發布更多代碼時，常常會忽視這一點。包括CISA文件在內的眾多最佳實踐文檔都反復強調要解決這一問題。

寬松身份驗證可能導致所謂的“密鑰泄露蔓延”問題，即在代碼中使用硬編碼憑據（包括API和加密密鑰以及登錄密碼）的錯誤做法。Git Guardian追蹤了這一問題，發現幾乎每一次暴露此類密鑰的泄露事件在軟件開發者收到通知后，至少還會持續活躍五天。他們發現十分之一的開源開發者泄露過密鑰，這相當于約170萬開發者有此類不良行為。

創建并時刻掌握訪問規則、實施多因素認證（尤其是針對管理人員和管理員），以及從任何編碼項目或資源中消除默認（或缺失）密碼等基本操作都很重要。

需要明確到底誰真正需要訪問各特定資源，并定期監控這種關系，以確保角色依然有效。與此同時，當用戶不再需要數據訪問權限時要刪除相應憑據，并定期對這些憑據和權限進行審計。

3.不良的API保護和列舉

隨著API數量的激增，以及應用程序之間的相互關聯性越來越強，開發者需要保護這條通信路徑，確保其使用安全。

根據Salt Security的《2023年第一季度API安全狀況報告》顯示，接受調查的400家公司幾乎每家在生產環境中的API都遇到過安全問題，其中17%遭遇了與API相關的安全漏洞。

在上個月發生互聯網檔案館（Internet Archive）數據泄露事件中，他們遭遇了三次不同的安全漏洞，都涉及保護不力的API密鑰。

“面向公眾的資產上暴露的API增加了攻擊面，成為惡意行為者的重點攻擊目標，” Gartner高級分析師Dale Koeppen表示，“應用程序的攻擊面呈指數級增長，這導致匆忙編寫并推向市場的代碼存在安全隱患。”

Upwind.io首席執行官Amiram Shachar表示，開發者需要持續測試API漏洞，并實時監控API流量以識別威脅并簡化響應流程；“而且API安全不應是一個獨立的工具，而應是整個云安全方案的一部分。”

根據F5公司的《2024年應用策略狀況報告》，41%的受訪組織管理的API數量至少與他們擁有的單個應用程序數量一樣多。他們預計，隨著人工智能應用的推進以及更復雜應用程序的構建，API的占比將繼續增加。

但擁有API網關只是整體API治理策略的一部分，互聯網檔案館的開發者們已經不幸地發現了這一點。各組織需要在整個API基礎設施中連貫且全面地應用安全政策，并能夠適應新出現的威脅和異常行為。

4.不良的工具選擇

在維持高應用程序安全（AppSec）水平方面，工具使用面臨挑戰。開發團隊要收集合適的工具集來幫助發現并解決問題，因為不存在單一的通用安全工具。這意味著選擇工具時需要仔細研究，以確保盡可能減少覆蓋漏洞。

Gartner建議從以下三種不同類型的工具入手：

• API網關。它們承擔兩項主要任務：一是維護所有API的總體清單，以便更輕松地排查問題；二是對第三方供應商進行測試、協助調查，并監控所有API的可疑活動。
• 代碼掃描和測試工具，幫助開發者發現編碼錯誤，識別并解決漏洞。這些工具在編寫代碼時有助于保障軟件供應鏈安全，防止出現諸如2020年SolarWinds、Orion漏洞利用之類的災難。
• 網絡應用防火墻（WAF），以保護所有應用程序免受諸如SQL注入等攻擊。它們通常在較高協議層運行，但也可用于阻止諸如分布式拒絕服務（DDoS）或僵尸網絡等較低層級的網絡攻擊。

此外，要做出正確的工具選擇，還要理解安全文化，確保這些工具能真正被開發者采用，并融入日常流程中。有專家建議，要從小處著手，不要一次性購買所有工具，以免用大量漏洞清單讓工程團隊不堪重負。同時，要審視這些漏洞，了解并確定要保護數據的優先級。

Veracode建議，要經常掃描應用程序，而且要使用多種技術進行掃描，并了解應用程序構建和修改的整體情況，以便進行持續修復。

5.不當使用自動化

即便有了最好的工具，警報也可能堆積如山，需要花費時間去分析。在這方面，生成式人工智能可以提供幫助，因為它能夠快速識別誤報，將需要立即關注的警報關聯起來，并提供快速修復方案，從而提升整個企業的安全性。

自動化對于現代應用程序安全（AppSec）環境至關重要，尤其是在輔助進行定期滲透測試和漏洞測試方面。

但是 Indusface總裁Venky Sundar指出，安全軟件面臨一個最大的問題，就是誤報頻發，特別是網站和API保護方面。有效利用人工智能有助于將誤報消除或減少到最低限度，并鼓勵更多企業使用網絡應用防火墻（WAF）來攔截它們。

人工智能還可用于過濾并減輕警報疲勞。安全供應商們行動迅速，如今許多工具都配備了生成式人工智能增強功能和利用機器學習模型的方法，以便更靈敏地發現惡意軟件并識別惡意趨勢。

值得慶幸的是，盡管存在這些問題，但整體形勢仍顯示出一些希望的跡象。Veracode在其報告中指出，當前最高嚴重級別的編碼漏洞占比是2016年時的一半。此外，新開發人員往往比很久以前接受過培訓的開發人員更注重安全。

參考鏈接：https://www.csoonline.com/article/3599778/top-5-security-mistakes-software-developers-make.html