開發(fā)人員越來越重視安全編碼

在安全編碼成為其文化的一部分之前，軟件公司和開發(fā)團(tuán)隊(duì)還有很長的路要走，但有跡象表明，程序員和他們的公司都在更加重視安全。

安全培訓(xùn)公司Secure對(duì)1200名軟件開發(fā)人員進(jìn)行的一項(xiàng)調(diào)查顯示，雖然只有14%的開發(fā)人員認(rèn)為應(yīng)用程序安全是他們編碼時(shí)的首要任務(wù)，但三分之二的人認(rèn)為應(yīng)用程序安全將在未來 12到18個(gè)月內(nèi)變得更加重要。安全培訓(xùn)公司和市場情報(bào)公司調(diào)查發(fā)現(xiàn)，代碼質(zhì)量、應(yīng)用程序性能和解決實(shí)際問題是三個(gè)首要任務(wù)。

安全培訓(xùn)公司首席執(zhí)行官Pieter Danhieux表示，企業(yè)在將安全編碼融入其開發(fā)文化方面取得了進(jìn)展，但仍面臨很大挑戰(zhàn)。

結(jié)果令人欣慰，因?yàn)殚_發(fā)人員正積極期待軟件安全成為更高級(jí)別的優(yōu)先項(xiàng)，然而由于舊習(xí)慣很難打破，企業(yè)需要?jiǎng)?chuàng)建促進(jìn)關(guān)注代碼安全的環(huán)境，因此還有鴻溝需要克服。

安全培訓(xùn)公司的2022 年開發(fā)人員驅(qū)動(dòng)的安全狀況調(diào)查與之前對(duì)開發(fā)人員對(duì)應(yīng)用程序安全態(tài)度的研究一致。例如，2020 年對(duì)開源貢獻(xiàn)者的一項(xiàng)調(diào)查發(fā)現(xiàn)，大多數(shù)程序員都希望編寫新功能、改進(jìn)工具和研究新想法，而安全性在優(yōu)先級(jí)方面排在最后。

這項(xiàng)最新調(diào)查強(qiáng)調(diào)，將安全性納入開發(fā)流程仍然具有挑戰(zhàn)性。大約一半的開發(fā)人員(48%)知道代碼中存在漏洞，而另外19%的人相信他們的一些項(xiàng)目中存在漏洞。

開發(fā)人員指出了由于幾種原因而導(dǎo)致缺乏對(duì)編碼安全性的關(guān)注。例如，四分之一的開發(fā)人員 (24%) 在項(xiàng)目開始時(shí)沒有足夠的時(shí)間來集成安全編碼，而19%的開發(fā)人員認(rèn)為公司沒有實(shí)施安全編碼的統(tǒng)一計(jì)劃。

調(diào)查報(bào)告稱：“所有這些努力的共同點(diǎn)是，對(duì)開發(fā)人員社區(qū)的不斷依賴，以幫助推動(dòng)這些急需的變化?！?“從開發(fā)人員的角度來看，這些安全運(yùn)動(dòng)更多是關(guān)于‘從左開始’而不是轉(zhuǎn)向它，因?yàn)檎_開始這個(gè)過程的最終責(zé)任應(yīng)該從他們開始?！?/p>

報(bào)告稱“所有這些努力都有一個(gè)共同點(diǎn)，那就是不斷依賴開發(fā)人員社區(qū)來幫助推動(dòng)這些急需的變化，”“從開發(fā)者的角度來看，這些安全行動(dòng)更多的是‘從左開始’，而不是“左移”?！?/p>

提高代碼安全性 減少返工

開發(fā)人員明白，從長遠(yuǎn)來看，更好的應(yīng)用程序安全性確實(shí)可以幫助團(tuán)隊(duì)提高生產(chǎn)效率。超過一半的受訪者認(rèn)為安全編碼是消除漏洞(53%)和錯(cuò)誤(52%)的方法，從而消除未來的返工。

此外，41%的開發(fā)人員在他們的項(xiàng)目中把功能和安全性放在同等的地位，一半(49%)認(rèn)為安全編碼是一個(gè)基本的目標(biāo)。

漏洞宿命論

該調(diào)查還發(fā)現(xiàn)，許多公司缺乏構(gòu)成安全程序或安全編碼的定義。大多數(shù)公司(61%)使用了已經(jīng)被批準(zhǔn)的組件和庫，因?yàn)檫@些庫被認(rèn)為是安全的，而幾乎同樣多的公司積極運(yùn)行安全分析工具，如靜態(tài)應(yīng)用程序安全測試(SAST)和動(dòng)態(tài)應(yīng)用程序安全測試(DAST)。

然而，不可否認(rèn)的是，開發(fā)者永遠(yuǎn)不可能捕獲所有的漏洞，公司是否會(huì)繼續(xù)努力主動(dòng)保護(hù)代碼或?qū)ψ钚碌穆┒醋龀龇磻?yīng)，還有待觀察。Danhieux說。

他說:“如果不安全的代碼被認(rèn)為是一種可接受的商業(yè)風(fēng)險(xiǎn)，那么就需要對(duì)安全計(jì)劃進(jìn)行徹底改革，以使其適應(yīng)現(xiàn)代威脅形勢，更不用說客戶的期望以及網(wǎng)絡(luò)安全方面日益有效的合規(guī)和監(jiān)管措施?！?/p>

關(guān)鍵詞標(biāo)簽：代碼安全,軟件安全,漏洞檢測,SAST,靜態(tài)代碼檢測

文章來源：

https://www.darkreading.com/application-security/developers-increasingly-prioritize-secure-coding