漏洞世界第28定律,过去20年绝大多数安全事件都是由前10大软件漏洞引起的。然而,许多企业仍然选择事后补救,承担安全事件造成的人员和业务后果。然而,一项新的研究现在为我们指明了一个由人领导的新方向。下面讨论的见解来自SecureCodeWarrior和EvansDataCorp进行的一项名为《从响应转向预防:转变中的应用安全》的研究,旨在探索开发人员对安全编码、安全代码实践和安全操作的态度。在这项研究中,开发人员和开发经理被问及他们最常见的安全编码实践。三种方法脱颖而出:部署后扫描应用程序是否存在异常或漏洞仔细检查编写的代码以检查异常或漏洞代码在重用之前被审查为安全的开发人员仍然认为安全编码实践是主动的,但逐渐开始承认这对人们来说是一个问题重点从左边开始。我们可以从研究结果中学到什么?三种常见的安全编码实践中有两种仍然侧重于反应式方法,第一种依赖于工具(扫描器),第二种依赖于开发人员(即人为因素)来执行手动检查:这两种情况都是在代码编写完成之后。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。第三种最常见的安全编码实践是首先认识到主动编写安全代码以避免漏洞的好处。此举凸显了向左手、预防、主动方法的转变,即在软件开发周期开始时将安全性构建到软件中。ReactiveisexpensiveIBM研究表明,修复已发布代码中的漏洞比最初发现并修复它的成本高30倍。巨大的价格差异强烈促使业界采用更加以人为本的方法来主动进行软件安全防御,开发人员可以使用这种方法从头开始编写更安全的代码。这就是所谓的以人为主导的防御。但是对于开始关注安全性的开发人员来说,它必须成为他们日常思考和编程的一部分。这就需要新的培训方式与开发人员的日常工作高度相关,激发他们主动学习,而目前的培训模式与开发人员的日常工作高度相关,不能激发他们主动学习。为了创建积极主动的安全文化,新的培训模型应该:在开发人员发展其软件安全技能时,使安全编码成为一种引人入胜的积极体验鼓励开发人员以安全思维方式思考他们的日常编码使安全编码成为开发人员实现以上几点的流程固有特性,可以从一开始就杜绝漏洞,让团队充满信心地快速产出高质量的代码。阅读完整报告以了解转型中的软件安全,以及有关组织如何阻止漏洞再次出现并在整个SDLC中体验安全文化积极转变的分析和建议。学习方法:确保从SDLC开始就考虑安全性采用以人为本的方法安全编码消除不良编码实践并获得良好结果
