研究|开发安全从左开始,而不是将安全转移到左他们的公司都更加重视安全。安全培训公司SecureCodeWarrior和市场研究公司EvansData对1,200名活跃的软件开发人员进行了调查,发现只有14%的开发人员认为应用程序安全是他们的首要任务,但三分之二的许多人认为应用程序安全性将在未来变得更加重要12到18个月。从左开始而不是将安全转移到左secureCodeWarrior的首席执行官兼联合创始人PieterDanhieux表示,企业在将安全融入其开发文化方面取得了进展,但仍然存在重大挑战。“结果令人鼓舞,因为开发人员积极期望软件安全成为更高的优先级。但是,必须克服一个差距。我们知道旧习惯很难改掉,组织需要承担责任创造环境以培养更好的代码质量和安全。”将安全集成到开发过程中仍然具有挑战性。大约一半的开发人员(48%)故意发布带有漏洞的代码,另有19%的人认为他们的一些项目存在已知漏洞。开发人员列出了一些阻碍因素来解释缺乏安全性例如,四分之一的开发人员(24%)没有足够的时间在项目开始时纳入代码安全,而19%的开发人员认为公司没有统一的开发安全实施计划。”来自开发人员的从角度来看,开发安全性应该更多地是“从左开始”而不是“向左移动”,因为正确开始流程的最终责任在于开发人员。从长远来看提高团队生产力。超过一半的受访者认为安全编码可以消除错误(53%)和错误(52%),从而避免未来的返工。此外,41%的开发人员在他们的项目中将功能和安全放在同等地位,并且一半(49%)的开发人员认为安全编码是一个基本目标。没有开发人员会故意编写糟糕的代码或引入安全风险,因此为防止这种情况发生,需要向程序员展示正确的编码方式并提供有意义的培训。但从本次调查结果来看,发展保障培训仍然不到位。30%的开发人员希望看到培训侧重于与其工作相关的更真实的示例,而四分之一的开发人员(26%)希望进行交互式培训。漏洞宿命论调查还发现,许多公司缺乏对什么构成安全程序或安全编码的定义。大多数公司(61%)使用的组件和库都获得使用许可,因为它们被认为是安全的,而几乎相同比例的公司正在积极运行分析工具,例如静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST).但是,漏洞永远存在,开发者不可能消除所有的漏洞。这种宿命论令人沮丧,甚至影响了继续努力积极保护代码的动力。但如果不安全的代码被认为是可接受的业务风险,那么就需要对安全程序进行全面检查,使其适应现代威胁环境,最终匹配客户期望和相关政策的合规性和监督。举报地址:https://www.securecodewarrior.com/press-releases/secure-code-warrior-survey-finds-86-of-developers-do-not-view-application-security-as-a-top-priority
