2021年开发安全需求将爆炸式增长

开发安全需求将在2021年激增50%包含一个或多个关键的可利用漏洞。根据今年AppSecStatsFlash发布的应用安全调查报告显示，制造业应用安全“暴露窗口”风险最大，该行业近70%的应用存在至少一个严重的可利用漏洞。WhiteHat在过去三个月记录的前五类漏洞是信息泄露、会话过期、跨站点脚本、传输层保护不足和内容欺骗。“发现和利用上述漏洞所需的努力和技能门槛很低，使它们容易受到攻击，”该报告的作者指出。同时，行业用户缓解严重漏洞的平均时间较长。该报告发现，所有行业的平均漏洞缓解时间为189天。然而，令人欣慰的是，过去12个月的平均天数呈下降趋势（同比下降5天）。在漏洞缓解方面表现最差的三个行业——教育、公共管理和房地产——平均需要一年多的时间来缓解关键漏洞。应用安全人才需求猛增应用开发安全已成为未来网络安全发展的关键。一项新的行业研究表明，开发安全已成为增长最快的网络安全技能。未来五年，对开发安全技能的需求预计将增长164%。五年内，培养安全人才的职位空缺将从2020年的29,635个增加到48,601个。上述调查结果提出了重要问题：什么是应用程序开发安全性？是什么推动了“安全左移”和发展安全需求的快速增长？什么是应用程序开发安全首先，开发安全是关于发现和修复漏洞。加强应用程序的防御。顾名思义，此过程通常发生在应用程序投入生产之前的开发阶段。但它也可能发生在所有者部署了这些应用程序之后。测试应用程序开发安全性的方法有很多种，统称为应用程序安全测试（AST），主要分为三大类：静态应用程序安全测试（SAST）：在这类网络应用程序安全测试中，安全专家有应用程序架构的一些知识。他们可以使用这些知识来报告源代码中的弱点。动态应用程序安全测试(DAST)：与SAST不同，DAST假定测试人员不了解应用程序的代码。其目的是发现特定应用程序运行状态下的潜在错误。交互式应用程序安全测试(IAST)：这种方法将SAST和DAST结合成一种混合方法。根据Verocode发布的《2020年软件安全现状报告》，团队使用扫描类型的组合，包括静态分析(SAST)、动态分析(DAST)和软件组成分析(SCA)，可以提高修复率。那些同时使用SAST和DAST的人可以将错误修复时间缩短24天。SDLC中的自动安全测试发现一半的漏洞比非自动测试快17.5天。总之，用于软件安全测试的（自动化）工具需要与研发团队现有的研发流程和安全实践进行匹配和集成，并具备与研发管理平台集成的能力。为什么需要应用程序开发安全性？对应用程序开发安全性不断增长的需求反映了两个持续的趋势。世界正变得越来越移动化。企业和其他组织对他们的用户进行了投资，使他们能够通过各种设备上的移动应用程序与他们的服务进行交互。在此过程中，他们需要具备适当开发安全技能的人员来保护这些移动应用程序，以确保为越来越多的用户提供一致且安全的移动性能。应用程序漏洞削弱了开发人员和用户之间的信任。总体而言，漏洞在移动应用程序中很常见。2020年对iOS和Android应用程序的一项研究发现，近四分之三的移动应用程序未通过基本安全测试。在接受调查的这些应用程序中，超过五分之四(83%)至少存在一个漏洞，其中91%的iOS应用程序和95%的Android应用程序报告了漏洞。没有开发安全就没有业务。安全软件漏洞对企业构成重大威胁。服务器端控制薄弱、数据存储不安全、密码被破解等问题为外部攻击者窃取信息打开了大门。由于应用程序开发安全问题，潜在客户可能选择不与易受数据泄露影响的实体打交道。最后，与监管机构和消费者相比，客户和业务合作伙伴可能更关心供应链合作伙伴应用程序开发的安全性。企业应该在客户受到攻击之前告诉客户他们使用哪些应用程序和工具来编写安全代码。在某些情况下，客户对开发安全性施加的压力比监管机构和合规审计员更大。这表明，开发安全性已成为一种关键的业务方法，公司可以通过这种方法与客户开展业务，同时保持密切、信任的合作伙伴关系，而不是跟随数据泄露披露。开发人员的最佳实践正如工作场所所需的安全防御技能总是在变化一样，开发安全本身的技能也是如此。开发人员工具链中内置的软件组件分析工具以及有限的防御性测试可能会在未来几年内取代旧的AST方法。行业专家预测，到2022年，自动化解决方案将能够修复SAST工具发现的10%的漏洞。这些预测揭示了应用程序开发安全方向的趋势。但是，这些趋势与当前开发人员安全开发的最佳实践并不冲突。例如，开发人员应该意识到他们很少需要从头开始编写自己的代码。他们不能指望“右侧”安全。相反，开发人员可以使用安全框架来促进他们的代码开发过程，他们还应该确保他们使用的是最新版本的第三方代码或库。开发人员还应该关注团队合作的力量，与安全架构师和运营团队合作实施威胁建模。此过程不仅有助于发现和分类潜在威胁，而且还促进沟通和相互理解，这是构建DevSecOps文化的基础。【本文为专栏作者“安安牛”原创文章，转载请通过安安牛（微信公众号id：gooann-sectv）获得授权】点此阅读更多作者好文