当今的威胁形势在不断演变,现在每个部门的组织和企业比以往任何时候都更迫切需要始终如一地生产和维护安全软件。虽然一些垂直行业——例如金融业——在一段时间内一直受到监管和合规要求的约束,但我们看到美国、英国和英国等最高级别政府对网络安全最佳实践的关注正在稳步增加。澳大利亚最近都在强调在 SDLC 的每个阶段进行安全开发的必要性。
尽管如此,攻击者仍在不断寻找新的方法来绕过最先进的保护和防御。例如,许多人已经将他们的重点从交付恶意软件转移到破坏 API 或对供应链发起有针对性的攻击。虽然这些高级别事件的发生频率要高得多,但更简单的攻击(如跨站点脚本和 SQL 注入)也是如此,这两种攻击几十年来一直是网络安全防御的祸害。就在上个月,WooCommerce WordPress 插件中报告了一个严重的 SQL 注入漏洞,严重程度为 9.8/10。
越来越明显的是,虽然网络安全平台和防御是防御现代攻击的关键组成部分,但真正需要的是可以无漏洞部署的安全代码。这需要有安全意识的开发人员采取行动,有意识地、坚定地提升安全编码标准。
许多开发人员表示他们愿意拥护安全并致力于更高标准的代码质量和安全输出,但他们不能单独做到这一点。我们不能忽视开发人员在与常见漏洞作斗争时的需求,他们需要合适的工具和培训的支持,以及改造他们的雇主和组织通常用来评判他们的传统指标。
为什么大多数开发人员尚未将安全放在首位
编码最佳实践多年来不断发展,以响应业务需求和市场趋势。过去,大多数应用程序都是使用所谓的瀑布开发模型创建的,在该模型中,软件工程师努力让他们的代码准备好满足一系列正在进行的里程碑或目标,然后再进入下一阶段的开发。Waterfall 倾向于支持程序的开发,这些程序已经一路满足了所有先前的里程碑,并且在为生产环境做好准备时没有错误或操作缺陷。但按照今天的标准,它的速度慢得令人痛苦,有时从开始一个项目到到达终点线之间需要 18 个月或更长时间。如今,这在大多数公司都行不通。
敏捷方法倾向于取代瀑布方法,更加强调速度。紧随其后的是 DevOps,它通过将开发和运营结合在一起来提高速度,以确保程序几乎在完成最终开发调整后就可以投入生产。
随着业务环境的发展,将速度置于安全之上,以及功能之外的几乎所有其他方面都是必要的。在基于云的世界中,每个人都始终在线,数以百万计的移动交易每隔几秒钟就会发生一次,尽快部署软件并进入持续集成和持续交付 (CI/CD) 管道是关键任务对于企业。
这并不是说组织不关心安全性。只是在大多数行业存在的竞争激烈的商业环境中,速度被认为更为重要。能够达到这种速度的开发人员蓬勃发展,以至于它成为判断他们工作绩效的主要手段。
现在高级攻击正在急剧增加,部署易受攻击的代码正成为一种负担。这种偏好再次发生变化,安全性越来越成为软件开发的主要焦点,速度紧随其后。事后加强安全性不仅危险,而且还会减慢软件部署过程。这导致了DevSecOps方法的兴起,该方法试图将速度和安全性结合在一起以帮助生成安全代码,并将安全性视为共同责任。但是,如果没有组织的大力支持,受过纯粹速度训练的开发人员无法在功能上具备安全意识。
开发人员需要什么才能真正对减少漏洞产生影响
好消息是,大多数开发人员希望在开发过程中看到转向安全编码和重新确定安全性的优先级。今年早些时候,Evans Data 对全球 1,200 多名积极工作的专业开发人员进行了一项综合调查,绝大多数人表示他们支持创建安全代码的概念。大多数人还希望它成为他们组织中的优先事项。然而,只有 8% 的受访者表示编写安全代码很容易实现。这在大多数组织的开发团队中留下了很大的改进空间,在需要什么和达到目标所需要的东西之间。
简单地要求安全代码不会完成工作,如果不努力培养正确的技能和意识,这将对他们的工作流程造成高度破坏。开发团队需要存在于培养他们的安全思维并促进共同责任文化的环境中。
最需要的是为他们提供更好的培训,其次是帮助使安全编码成为他们工作流程的无缝部分的工具。并且该程序应该是定制的,以便经验不足的开发人员可以通过学习如何识别经常潜入代码的常见漏洞类型来开始他们的培训,并提供大量实践学习和示例。同时,展示其安全技能的更高级开发人员可以承担更复杂的错误甚至高级威胁建模概念的任务。
除了资助和支持培训计划,包括让开发人员有足够的时间远离编码以便正确参与这些计划,组织还需要改变评估其队列的方式。奖励开发人员的主要指标需要从原始速度转变。相反,评估可以奖励那些能够创建没有漏洞或漏洞利用的安全代码的人。是的,速度也可以是一个评估因素,但首要的是,代码需要安全,现代开发需要开辟一条道路,让速度安全不再是神话。
运送不安全或易受攻击的代码不应成为可接受的业务风险,事后加强安全性变得越来越无效。值得庆幸的是,对抗这种令人不安的趋势的最佳武器是让开发者社区生成攻击者无法利用的安全代码。大多数开发人员都愿意迎接这一挑战;给予他们支持以实现它。
注意 —本文由 Secure Code Warrior 的首席技术官兼联合创始人 Matias Madou 撰写和贡献。
