開發安全從左開始而不是安全左移

在安全成為軟件開發的有機組成之前，軟件公司和開發團隊還有很長的路要走，但已經有明顯的跡象表明，程序員和他們的公司都在更認真地對待安全問題。

安全培訓公司Secure Code Warrior和市場調研公司Evans Data，調查了1200名活躍的軟件開發者，調查發現只有14%的開發者認為應用程序的安全性是他們的首要任務，但有三分之二的人認為，應用程序的安全性在未來12到18個月將變得更加重要。

從左開始而不是安全左移

secure Code Warrior首席執行官兼聯合創始人Pieter Danhieux認為，企業在將安全融入開發文化方面取得了進展，但仍面臨重大挑戰。

“結果令人鼓舞，因為開發人員正積極期待軟件安全成為更高的優先事項。然而，這里有一個必須克服的鴻溝。我們知道舊習慣很難打破，組織需要承擔起創造環境的責任，以促進更好的代碼質量和安全性。”

將安全性納入開發流程仍然具有挑戰性。大約一半的開發人員（48%）在知情的情況下發布帶有漏洞的代碼，另有19%的開發人員認為他們的一些項目存在已知漏洞。

開發者列出了一些阻礙因素，來解釋安全性的缺乏。例如，四分之一的開發人員（24%）沒有足夠的時間在項目開始時將代碼安全整合進來，而19%的開發人員認為公司沒有一個統一的實施開發安全的計劃。

“從開發者的角度來看，開發安全更多的應該‘從左開始’，而不是‘左移’，因為正確開始流程的最終責任是開發者。”

更好的安全性意味著更少的返工量

開發人員普遍理解，從長遠來看，更好的應用程序安全性確實有助于提高團隊的工作效率。超過一半的受訪者認為安全編碼可以消除漏洞（53%）和錯誤（52%），從而避免未來的返工。

此外，41%的開發人員在他們的項目中把功能和安全放在同等地位，一半（49%）的開發人員認為安全編碼是一個基本目標。

沒有開發人員會故意創建糟糕的編碼或引入安全風險，因此為了避免這種情況的出現，需要向程序員展示正確的編碼方式，提供有意義的培訓。但從此次調查結果來看，開發安全的培訓仍然不到位。30%的開發人員希望看到培訓集中在與他們的工作相關的更真實的示例上，而四分之一的開發人員（26%）希望進行交互式培訓。

漏洞宿命論

調查還發現，許多公司對安全程序或安全編碼的構成缺乏定義。大多數公司（61%）使用的組件和庫已獲得許可使用，因為它們被認為是安全的，同時幾乎同樣比例的公司在積極運行分析工具，如靜態應用程序安全測試（SAST）和動態應用程序安全測試（DAST）。

然而，漏洞永遠存在，開發人員也不可能杜絕所有的漏洞，這一宿命論令人感到沮喪，甚至會影響繼續努力、主動保護代碼的動力。但如果不安全的代碼被認為是一種可接受的商業風險，那么就需要對安全計劃進行徹底改革，使其與現代威脅環境相適應，最終匹配客戶的期望以及網絡安全的相關政策合規和監管。

報告地址：

https://www.securecodewarrior.com/press-releases/secure-code-warrior-survey-finds-86-of-developers-do-not-view-application-security-as-a-top-priority