相互競爭的優(yōu)先事項使得開發(fā)人員難以保護代碼

隨著組織轉向云優(yōu)先方法，云原生應用程序開發(fā)的挑戰(zhàn)可能正在減緩開發(fā)周期。根據Tigera 4 月份的一項調查，隨著這種轉變，需要更高的安全能力。事實上，大多數開發(fā)人員將安全性視為云原生開發(fā)周期中的最大挑戰(zhàn)。

根據Secure Code Warrior最近的一項研究，開發(fā)人員在面臨相互競爭的優(yōu)先事項時，正在努力為他們的軟件設計安全性。三分之二的參與者承認，他們經常在代碼中留下已知的漏洞和漏洞利用，只有 14% 的參與者將應用程序安全列為重中之重。

這是因為，盡管他們想做正確的事，但“他們的工作環(huán)境并不總是讓他們很容易將其作為優(yōu)先事項，”Secure Code Warrior 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Pieter Danhieux 在一份聲明中說。

可能的原因包括代碼復雜性增加和開發(fā)人員勞動力短缺。公司文化和發(fā)展方法，以及缺乏安全技能，也可能有所貢獻。

正如 Secure Code Warrior 研究所說，“許多組織仍在采用傳統(tǒng)的軟件開發(fā)方法，同時應對不斷變化的網絡安全風險和需求?！?/p>

然而，安全團隊知道 DevSecOps，或者至少是 DevOps，在軟件開發(fā)開始時強調安全考慮的方法是至關重要的。根據 Secure Code Warrior 的說法，如果做得好，安全方面的開發(fā)人員可以“通過減少導致返工的漏洞、保持軟件發(fā)布速度并在不影響創(chuàng)新的情況下確保代碼質量來提高生產力”。

盡管 41% 的開發(fā)人員表示功能和安全性在他們的組織中同樣重要，但他們也表示，新特性和功能、應用程序性能和按時完成比安全性更重要，是管理層的首要任務。

“我們的研究表明，開發(fā)人員實際上非常關注返工，而不一定是新功能，或者以安全的方式創(chuàng)建新功能，”Secure Code Warrior 的首席技術官 Matias Madou 告訴 EE Times?！八麄兊淖罱K客戶需要新功能，并認為質量是給定的。因此，開發(fā)人員專注于讓產品更好、更快、更流暢，而不是將安全作為重中之重?！?/p>

您的代碼中有哪些漏洞？向左移動安全代碼并非易事

阻礙在開發(fā)周期早期集成安全代碼的三大障礙——向左移動——是缺乏時間、計劃和優(yōu)先級。

缺乏時間可能與勞動力短缺直接相關。“永遠不會有足夠的人來確保安全，”麻豆說?！皩τ谲浖踩蚱七@種模式的唯一方法是確保開發(fā)人員成為安全故事的一部分?！?/p>

Jon Jarboe

Cycode 的產品營銷總監(jiān) Jon Jarboe 告訴 EE Times，開發(fā)人員和安全團隊都從管理層那里獲得了他們的優(yōu)先事項和方向。

“這份報告揭示的一件事是它們經常不一致：安全團隊的優(yōu)先級可能與開發(fā)團隊的優(yōu)先級不一致。因此，開發(fā)人員可能被迫在開發(fā)目標和安全性之間做出選擇?！?/p>

近三分之二的受訪者表示很難編寫沒有漏洞的安全代碼。工具和培訓最常被認為是整個開發(fā)生命周期中最重要的安全需求。

但Jarboe 說，安全工具通常是為安全團隊設計的，而不是為開發(fā)人員設計的，因此它們可能更具破壞性而不是有用?！斑@些安全工具也必須為開發(fā)人員設計。大多數安全公司現(xiàn)在可能正在解決這個問題，但他們在這方面的進展或成功程度各不相同?！?/p>

在開發(fā)過程中使用工具的地方也很重要。在產品發(fā)布之前運行測試工具不會有足夠的時間來解決所有問題。Jarboe 解釋說，安全工具的使用方式以及它們在開發(fā)中的使用位置必須改變。

該報告還指出，開發(fā)人員表示，他們的公司依賴于現(xiàn)有或預先批準的安全代碼和工具，這些代碼和工具只能解決已知漏洞，而不是使用所需的技能來編寫新的、無漏洞的代碼。

向左轉移安全代碼的主要障礙。

代碼、開發(fā)環(huán)境變得越來越復雜

麻豆說，代碼和開發(fā)環(huán)境的日益復雜絕對是一個問題。

“如果你問開發(fā)人員在做什么，那就是代碼質量和讓事情變得更簡單，”他說。“他們在編寫代碼時列出的首要任務是代碼質量和技術債務減少，同樣的數字表示他們的首要任務是應用程序性能?！?/p>

環(huán)境復雜性的增加部分是由于開發(fā)人員繼續(xù)在新舊語言和環(huán)境中工作。例如，Secure Code Warrior 提供 60 種不同語言和框架的培訓。

“隨著應用程序向微服務轉移，軟件復雜性肯定會隨著向云原生的轉變而增長，”Jarboe 說。“這些現(xiàn)在由不同的團隊開發(fā)，他們必須相互溝通并與安全團隊溝通，這可能很困難，并增加了公司內部的復雜性?！?/p>

所有這些都給公司文化帶來了壓力?！耙虼?，要取得成功，組織的文化必須改變一直以來的做事方式，”Jarboe 說。

然而，這些變化現(xiàn)在特別困難，因為開發(fā)人員必須應對所有并行轉換，包括 DevOps 和敏捷運動，以及大流行。

可以提供幫助的一件事是自動安全網或護欄?！皼]有[這些]，開發(fā)人員無法始終以他們需要的速度解決問題，以滿足最后期限，”Jarboe 說?！暗绻阌凶詣訙y試來告訴你代碼何時被破壞，你就可以專注于修復問題，而不是擔心破壞問題?！?/p>

培訓和技能提升的需要

開發(fā)人員對是否需要更多培訓給出了相互矛盾的回應。雖然大多數人認為他們之前的安全代碼培訓良好或優(yōu)秀，但 92% 的受訪者表示他們團隊中的其他人需要更多的安全框架培訓。

盡管仍然存在包含漏洞的代碼，但 81% 的人表示他們會定期在工作中進行安全培訓。然而，只有 43% 的人表示培訓與他們的工作高度相關，超過一半的人表示不熟悉常見的軟件漏洞、如何利用這些漏洞以及避免這些漏洞的方法。

“組織并不總是給開發(fā)人員時間來提高自己的技能，”麻豆說?！绊椖康淖詈笃谙尥ǔＪ亲蛱欤虼怂麄儽仨氶_發(fā)新的特性和功能，而不考慮安全性，而只關注組織的短期目標?！?/p>

從代碼中創(chuàng)建漏洞到發(fā)現(xiàn)漏洞平均需要大約兩年時間。因此，以軟件安全為目標的組織必須提前數年進行規(guī)劃，麻豆解釋說?！八麄冞€必須考慮新員工的技能和培訓。”

通常，開發(fā)人員無法明確說明安全編碼的實際含義。這是因為大學課程中很少有關于如何創(chuàng)建安全代碼的課程。

“為什么要提高自己的編碼水平？因為在開發(fā)周期開始時你會犯錯誤，每個人都會犯錯，”麻豆說?！爸挥性谥芷诮Y束時，您才會意識到您的代碼具有安全影響并且可能被濫用。因此，如果您學習如何編寫安全代碼，您將被視為優(yōu)秀的開發(fā)人員。在報告中，大多數經理表示他們在雇用新開發(fā)人員時需要安全技能?！?/p>

審核編輯 黃昊宇