今天的威胁形势在不断发展,现在每个部门的组织和企业比以往任何时候都更需要始终如一地生产和维护安全软件。虽然金融等一些垂直行业在一段时间内一直受到监管和合规要求的约束,但我们看到美国、英国和英国等最高级别政府对网络安全最佳实践的关注正在稳步增加。澳大利亚最近强调了在SDLC的每个阶段进行安全开发的必要性。尽管如此,攻击者仍在不断寻找新的方法来绕过最先进的保护和防御。例如,许多人已将他们的重点从交付恶意软件转移到破坏API或对供应链发起有针对性的攻击。虽然这些高级别事件的发生频率要高得多,但更简单的攻击(例如跨站点脚本和SQL注入)也是如此,这些攻击几十年来一直是网络安全防御的祸害。就在上个月,WooCommerceWordPress插件中报告了严重级别为9.8/10的严重SQL注入漏洞。越来越清楚的是,虽然网络安全平台和防御是抵御现代攻击的关键组成部分,但真正需要的是可以无漏洞部署的安全代码。这需要具有安全意识的开发人员采取行动,有意识地坚定地提升安全编码标准。许多开发人员表示他们愿意拥抱安全并努力实现更高标准的代码质量和安全输出,但他们无法独自做到这一点。在与常见漏洞作斗争时,我们不能忽视开发人员的需求,他们需要通过正确的工具和培训获得支持,以及改进他们的雇主和组织通常用来评判他们的传统指标。为什么大多数开发人员没有将安全放在首位多年来,编码最佳实践不断发展以响应业务需求和市场趋势。过去,大多数应用程序都是使用所谓的瀑布开发模型创建的,在该模型中,软件工程师努力让他们的代码准备好满足一系列正在进行的里程碑或目标,然后再进入下一阶段的开发。Waterfall倾向于支持已经满足所有先前里程碑的程序的开发,并且在准备好投入生产时没有错误或操作缺陷。但按照今天的标准,它的速度慢得令人痛苦,有时从开始一个项目到到达终点线需要18个月或更长时间。如今,这在大多数公司都行不通。敏捷方法倾向于通过更加强调速度来取代瀑布方法。紧随其后的是DevOps,它通过将开发和运营结合在一起来提高速度,以确保程序几乎在进行最终开发调整后就可以投入生产。随着业务环境的发展,必须优先考虑速度而不是安全,以及功能以外的几乎所有其他内容。在每个人都始终在线且每隔几秒就会发生数百万次移动交易的基于云的世界中,尽快部署软件并进入持续集成和持续交付(CI/CD)管道对于企业来说是关键任务。这并不是说组织不关心安全性。只是在大多数行业存在的竞争激烈的商业环境中,速度被认为更为重要。能够达到这种速度的开发人员会蓬勃发展,以至于它成为判断他们工作绩效的主要手段。现在高级攻击急剧增加,部署易受攻击的代码正成为一种负担。这种偏好再次发生转变,安全性越来越成为软件开发的主要焦点,而且速度紧随其后。事后加强安全性不仅危险,而且还会减慢软件部署过程。这导致了DevSecOps方法的兴起,该方法寻求将速度和安全性结合在一起以帮助生成安全代码,并将安全性视为共同责任。但是,如果没有强大的组织支持,受过纯速度训练的开发人员不可能具有功能安全意识。开发人员真正需要在减少漏洞方面有所作为好消息是,大多数开发人员希望看到转向安全编码,并在开发过程中重新确定安全的优先级。今年早些时候,EvansData对全球1200多名活跃的专业开发人员进行了全面调查,绝大多数人表示支持创建安全代码的概念。大多数人还希望它成为他们组织中的优先事项。然而,只有8%的受访者表示编写安全代码很容易。这为大多数组织的开发团队留下了很大的改进空间,在需要什么和到达那里需要什么之间。仅仅要求安全代码并不能完成工作,如果不努力培养正确的技能和意识,这将严重破坏他们的工作流程。开发团队需要存在于一个能够培养他们的安全心态并促进共同责任文化的环境中。最大的需求是为他们提供更好的培训,其次是帮助使安全编码成为他们工作流程的无缝部分的工具。并且该程序应该是定制的,以便经验不足的开发人员可以通过学习如何识别经常潜入代码的常见漏洞类型来开始他们的培训,并提供大量实践学习和示例。同时,展示其安全技能的更高级的开发人员可以处理更复杂的错误,甚至是高级威胁建模概念。除了资助和支持培训计划(包括让开发人员有足够的时间远离编码以正确参与这些计划)之外,组织还需要改变他们评估同类人群的方式。奖励开发人员的主要指标需要从原始速度转变。相反,评估可以奖励那些可以创建没有错误或漏洞的安全代码的人。是的,速度也可以是一个评估因素,但首先,代码需要安全,现代发展需要开辟一条速度安全不再是神话的道路。运送不安全或易受攻击的代码不应成为可接受的业务风险,事后加强安全性越来越无效。值得庆幸的是,对抗这种令人不安的趋势的最佳武器是让开发者社区生成攻击者无法利用的安全代码。大多数开发人员都愿意接受这个挑战;给予他们支持以实现它。注意——本文由SecureCodeWarrior的首席技术官兼联合创始人MatiasMadou撰写和贡献。
