在安全成為軟件開發(fā)的有機組成之前，軟件公司和開發(fā)團隊還有很長的路要走，但已經(jīng)有明顯的跡象表明，程序員和他們的公司都在更認真地對待安全問題。

安全培訓(xùn)公司Secure Code Warrior和市場調(diào)研公司Evans Data，調(diào)查了1200名活躍的軟件開發(fā)者，調(diào)查發(fā)現(xiàn)只有14%的開發(fā)者認為應(yīng)用程序的安全性是他們的首要任務(wù)，但有三分之二的人認為，應(yīng)用程序的安全性在未來12到18個月將變得更加重要。

從左開始而不是安全左移

secure Code Warrior首席執(zhí)行官兼聯(lián)合創(chuàng)始人Pieter Danhieux認為，企業(yè)在將安全融入開發(fā)文化方面取得了進展，但仍面臨重大挑戰(zhàn)。

“結(jié)果令人鼓舞，因為開發(fā)人員正積極期待軟件安全成為更高的優(yōu)先事項。然而，這里有一個必須克服的鴻溝。我們知道舊習(xí)慣很難打破，組織需要承擔(dān)起創(chuàng)造環(huán)境的責(zé)任，以促進更好的代碼質(zhì)量和安全性?！?/p>

將安全性納入開發(fā)流程仍然具有挑戰(zhàn)性。大約一半的開發(fā)人員(48%)在知情的情況下發(fā)布帶有漏洞的代碼，另有19%的開發(fā)人員認為他們的一些項目存在已知漏洞。

開發(fā)者列出了一些阻礙因素，來解釋安全性的缺乏。例如，四分之一的開發(fā)人員(24%)沒有足夠的時間在項目開始時將代碼安全整合進來，而19%的開發(fā)人員認為公司沒有一個統(tǒng)一的實施開發(fā)安全的計劃。

“從開發(fā)者的角度來看，開發(fā)安全更多的應(yīng)該‘從左開始’，而不是‘左移’，因為正確開始流程的最終責(zé)任是開發(fā)者。”

更好的安全性意味著更少的返工量

開發(fā)人員普遍理解，從長遠來看，更好的應(yīng)用程序安全性確實有助于提高團隊的工作效率。超過一半的受訪者認為安全編碼可以消除漏洞(53%)和錯誤(52%)，從而避免未來的返工。

此外，41%的開發(fā)人員在他們的項目中把功能和安全放在同等地位，一半(49%)的開發(fā)人員認為安全編碼是一個基本目標(biāo)。

沒有開發(fā)人員會故意創(chuàng)建糟糕的編碼或引入安全風(fēng)險，因此為了避免這種情況的出現(xiàn)，需要向程序員展示正確的編碼方式，提供有意義的培訓(xùn)。但從此次調(diào)查結(jié)果來看，開發(fā)安全的培訓(xùn)仍然不到位。30%的開發(fā)人員希望看到培訓(xùn)集中在與他們的工作相關(guān)的更真實的示例上，而四分之一的開發(fā)人員(26%)希望進行交互式培訓(xùn)。

漏洞宿命論

調(diào)查還發(fā)現(xiàn)，許多公司對安全程序或安全編碼的構(gòu)成缺乏定義。大多數(shù)公司(61%)使用的組件和庫已獲得許可使用，因為它們被認為是安全的，同時幾乎同樣比例的公司在積極運行分析工具，如靜態(tài)應(yīng)用程序安全測試(SAST)和動態(tài)應(yīng)用程序安全測試(DAST)。

然而，漏洞永遠存在，開發(fā)人員也不可能杜絕所有的漏洞，這一宿命論令人感到沮喪，甚至?xí)绊懤^續(xù)努力、主動保護代碼的動力。但如果不安全的代碼被認為是一種可接受的商業(yè)風(fēng)險，那么就需要對安全計劃進行徹底改革，使其與現(xiàn)代威脅環(huán)境相適應(yīng)，最終匹配客戶的期望以及網(wǎng)絡(luò)安全的相關(guān)政策合規(guī)和監(jiān)管。

報告地址：https://www.securecodewarrior.com/press-releases/secure-code-warrior-survey-finds-86-of-developers-do-not-view-application-security-as-a-top-priority