開發(fā)驅(qū)動(dòng)數(shù)字業(yè)務(wù)的軟件、應(yīng)用和程序的開發(fā)者已成為許多企業(yè)的命脈。如果不具備有競(jìng)爭(zhēng)力的應(yīng)用和程序，或者沒(méi)有對(duì)其網(wǎng)站和其他基礎(chǔ)設(shè)施的24 小時(shí)訪問(wèn)，大多數(shù)現(xiàn)代企業(yè)將無(wú)法（盈利）運(yùn)作。

然而，這些相同的接觸點(diǎn)通常也是黑客和其他惡意用戶用來(lái)竊取信息、發(fā)動(dòng)攻擊和引發(fā)其他犯罪活動(dòng)（如欺詐和勒索軟件）的途徑。

盡管大多數(shù)企業(yè)在增加網(wǎng)絡(luò)安全方面的投入，而且像 DevSecOps 這樣的策略正在將安全性轉(zhuǎn)移到那些作為企業(yè)命脈的開發(fā)者身上，但成功的攻擊仍然很普遍。開發(fā)者了解安全的重要性，并且非常希望部署安全和高質(zhì)量的代碼，但軟件漏洞仍在繼續(xù)被利用。

為什么軟件漏洞持續(xù)存在？

2021 年 12 月，全球安全編碼公司Secure Code Warrior聯(lián)合埃文斯數(shù)據(jù)公司（Evans Data Corp）合作開展了“2022 年開發(fā)者驅(qū)動(dòng)的安全狀況調(diào)查”，對(duì)全球 1,200 名開發(fā)者進(jìn)行了調(diào)查，以了解安全編碼實(shí)踐方面的技能、認(rèn)知和行為，以及它們?cè)谲浖_發(fā)生命周期 (SDLC) 中的影響和感知相關(guān)性。

調(diào)查發(fā)現(xiàn)，對(duì)于什么是安全代碼缺乏明確的定義或理解。而事實(shí)證明，開發(fā)者認(rèn)為的安全代碼與實(shí)際的安全代碼之間存在很大差異。

編寫高質(zhì)量的代碼是開發(fā)社區(qū)的首要任務(wù)，這并不奇怪。但當(dāng)被問(wèn)及安全代碼時(shí)，只有 29% 的人表示優(yōu)先考慮編寫沒(méi)有漏洞的代碼。相反，開發(fā)者將不太安全和不太可靠的做法與開發(fā)安全代碼聯(lián)系起來(lái)。例如，審查現(xiàn)有代碼 (37%) 和依賴外部源代碼庫(kù)獲取安全代碼 (37%) 是開發(fā)者與安全編碼相關(guān)聯(lián)的首要選擇。重用已經(jīng)被認(rèn)為是安全的代碼 (32%) 是另一個(gè)受歡迎的選擇。編寫無(wú)漏洞的代碼排在第 6 位，而只有 29% 的人表示這是創(chuàng)建安全代碼的最佳方式。

缺乏時(shí)間和缺乏統(tǒng)一的管理方法被認(rèn)為是創(chuàng)建安全代碼的最大障礙。對(duì)現(xiàn)有代碼的依賴是增加軟件附帶可利用漏洞的風(fēng)險(xiǎn)因素之一。解決構(gòu)成安全代碼的這種脫節(jié)問(wèn)題對(duì)于開發(fā)者創(chuàng)建同樣安全的高質(zhì)量代碼是必要的。

企業(yè)能做些什么來(lái)解決這個(gè)問(wèn)題？

調(diào)查中最重要的信息之一是，開發(fā)者社區(qū)里都是在意自己所做工作的專業(yè)人士。作為一個(gè)團(tuán)隊(duì)，編寫高質(zhì)量的代碼對(duì)于他們來(lái)說(shuō)非常重要。問(wèn)題在于，許多情況下他們工作的企業(yè)沒(méi)有找到開發(fā)安全代碼所需的最佳方法，也沒(méi)有投入足夠的資源進(jìn)行培訓(xùn)或使他們的開發(fā)者能夠?qū)崿F(xiàn)這些目標(biāo)。

事實(shí)上，大多數(shù)開發(fā)者表示，他們的企業(yè)甚至沒(méi)有明確定義什么是安全代碼。而最令人擔(dān)憂的例子之一是，28% 的受訪者表示，一旦應(yīng)用或程序部署到生產(chǎn)環(huán)境中或向公眾開放，如果沒(méi)有出現(xiàn)漏洞，他們的企業(yè)則認(rèn)為代碼是安全的。

這可能不言而喻，但在當(dāng)今復(fù)雜的威脅環(huán)境中，僅僅希望獲得好的結(jié)果而不實(shí)際努力，可能會(huì)發(fā)生意料之中的后果：出現(xiàn)更多的安全漏洞。

值得慶幸的是，在這種情況下，至少開始解決問(wèn)題然后朝著安全代碼的目標(biāo)努力是相對(duì)容易的。第一步也可以說(shuō)是最重要的一步，是企業(yè)定義他們認(rèn)為安全的代碼。超出該定義的所有內(nèi)容都將被視為不安全。

安全編碼應(yīng)該被定義為熟練的開發(fā)者從 SDLC 開始編寫沒(méi)有漏洞的代碼的實(shí)踐。只有定義了這種做法，開發(fā)者社區(qū)才能朝著這個(gè)目標(biāo)努力。

實(shí)現(xiàn)安全代碼的目標(biāo)

一旦確定了安全代碼的定義，企業(yè)就應(yīng)準(zhǔn)備好支持這些工作以及以實(shí)現(xiàn)安全代碼為目標(biāo)的開發(fā)者。這種支持至關(guān)重要。如果沒(méi)有它，企業(yè)內(nèi)部安全代碼的定義雖然很重要，但也不過(guò)是一只紙老虎。安全編碼實(shí)踐必須得到管理層的認(rèn)可，并給予適當(dāng)?shù)目紤]、授權(quán)和預(yù)算才能成功。

這可能需要為開發(fā)者制定新的基準(zhǔn)測(cè)試目標(biāo)，傳統(tǒng)上他們是根據(jù)編碼速度來(lái)衡量的。事實(shí)上，調(diào)查中有37% 的開發(fā)者表示，他們的代碼中會(huì)留下已知漏洞，因?yàn)榫o迫的期限導(dǎo)致沒(méi)有時(shí)間修復(fù)它們或者從一開始就正確地編碼。

首先，這可能意味著需要增加最后期限讓開發(fā)者有更多的時(shí)間正確編碼，在編碼過(guò)程中的時(shí)間支出會(huì)在后期彌補(bǔ)回來(lái)，因?yàn)閷?duì)程序修訂、補(bǔ)丁和部署后的需求會(huì)相對(duì)減少。而且，消除一個(gè)可能存在的漏洞可以節(jié)省數(shù)百小時(shí)甚至數(shù)百萬(wàn)的收入損失、罰款以及處理成本。

開發(fā)者還需要相關(guān)的實(shí)踐培訓(xùn)，尤其是與他們可能遇到的特定漏洞相關(guān)的培訓(xùn)，并幫助他們學(xué)習(xí)如何識(shí)別和修復(fù)代碼漏洞。鑒于 36% 的受訪者表示他們希望從代碼中刪除漏洞，但沒(méi)有相應(yīng)的技能或知識(shí)，這一點(diǎn)尤其正確。