相互競爭的優(yōu)先事項(xiàng)使得開發(fā)人員難以保護(hù)代碼

隨著組織轉(zhuǎn)向云優(yōu)先方法，云原生應(yīng)用程序開發(fā)的挑戰(zhàn)可能正在減緩開發(fā)周期。根據(jù)Tigera 4 月份的一項(xiàng)調(diào)查，隨著這種轉(zhuǎn)變，需要更高的安全能力。事實(shí)上，大多數(shù)開發(fā)人員將安全性視為云原生開發(fā)周期中的最大挑戰(zhàn)。

根據(jù)Secure Code Warrior最近的一項(xiàng)研究，開發(fā)人員在面臨相互競爭的優(yōu)先事項(xiàng)時(shí)，正在努力為他們的軟件設(shè)計(jì)安全性。三分之二的參與者承認(rèn)，他們經(jīng)常在代碼中留下已知的漏洞和漏洞利用，只有 14% 的參與者將應(yīng)用程序安全列為重中之重。

這是因?yàn)?，盡管他們想做正確的事，但“他們的工作環(huán)境并不總是讓他們很容易將其作為優(yōu)先事項(xiàng)，”Secure Code Warrior 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Pieter Danhieux 在一份聲明中說。

可能的原因包括代碼復(fù)雜性增加和開發(fā)人員勞動(dòng)力短缺。公司文化和發(fā)展方法，以及缺乏安全技能，也可能有所貢獻(xiàn)。

正如 Secure Code Warrior 研究所說，“許多組織仍在采用傳統(tǒng)的軟件開發(fā)方法，同時(shí)應(yīng)對不斷變化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和需求?！?/p>

然而，安全團(tuán)隊(duì)知道 DevSecOps，或者至少是 DevOps，在軟件開發(fā)開始時(shí)強(qiáng)調(diào)安全考慮的方法是至關(guān)重要的。根據(jù) Secure Code Warrior 的說法，如果做得好，安全方面的開發(fā)人員可以“通過減少導(dǎo)致返工的漏洞、保持軟件發(fā)布速度并在不影響創(chuàng)新的情況下確保代碼質(zhì)量來提高生產(chǎn)力”。

盡管 41% 的開發(fā)人員表示功能和安全性在他們的組織中同樣重要，但他們也表示，新特性和功能、應(yīng)用程序性能和按時(shí)完成比安全性更重要，是管理層的首要任務(wù)。

“我們的研究表明，開發(fā)人員實(shí)際上非常關(guān)注返工，而不一定是新功能，或者以安全的方式創(chuàng)建新功能，”Secure Code Warrior 的首席技術(shù)官 Matias Madou 告訴 EE Times。“他們的最終客戶需要新功能，并認(rèn)為質(zhì)量是給定的。因此，開發(fā)人員專注于讓產(chǎn)品更好、更快、更流暢，而不是將安全作為重中之重?！?/p>

您的代碼中有哪些漏洞？向左移動(dòng)安全代碼并非易事

阻礙在開發(fā)周期早期集成安全代碼的三大障礙——向左移動(dòng)——是缺乏時(shí)間、計(jì)劃和優(yōu)先級(jí)。

缺乏時(shí)間可能與勞動(dòng)力短缺直接相關(guān)?！坝肋h(yuǎn)不會(huì)有足夠的人來確保安全，”麻豆說?！皩τ谲浖踩?，打破這種模式的唯一方法是確保開發(fā)人員成為安全故事的一部分?！?/p>

Jon Jarboe

Cycode 的產(chǎn)品營銷總監(jiān) Jon Jarboe 告訴 EE Times，開發(fā)人員和安全團(tuán)隊(duì)都從管理層那里獲得了他們的優(yōu)先事項(xiàng)和方向。

“這份報(bào)告揭示的一件事是它們經(jīng)常不一致：安全團(tuán)隊(duì)的優(yōu)先級(jí)可能與開發(fā)團(tuán)隊(duì)的優(yōu)先級(jí)不一致。因此，開發(fā)人員可能被迫在開發(fā)目標(biāo)和安全性之間做出選擇。”

近三分之二的受訪者表示很難編寫沒有漏洞的安全代碼。工具和培訓(xùn)最常被認(rèn)為是整個(gè)開發(fā)生命周期中最重要的安全需求。

但Jarboe 說，安全工具通常是為安全團(tuán)隊(duì)設(shè)計(jì)的，而不是為開發(fā)人員設(shè)計(jì)的，因此它們可能更具破壞性而不是有用?！斑@些安全工具也必須為開發(fā)人員設(shè)計(jì)。大多數(shù)安全公司現(xiàn)在可能正在解決這個(gè)問題，但他們在這方面的進(jìn)展或成功程度各不相同?！?/p>

在開發(fā)過程中使用工具的地方也很重要。在產(chǎn)品發(fā)布之前運(yùn)行測試工具不會(huì)有足夠的時(shí)間來解決所有問題。Jarboe 解釋說，安全工具的使用方式以及它們在開發(fā)中的使用位置必須改變。

該報(bào)告還指出，開發(fā)人員表示，他們的公司依賴于現(xiàn)有或預(yù)先批準(zhǔn)的安全代碼和工具，這些代碼和工具只能解決已知漏洞，而不是使用所需的技能來編寫新的、無漏洞的代碼。

向左轉(zhuǎn)移安全代碼的主要障礙。

代碼、開發(fā)環(huán)境變得越來越復(fù)雜

麻豆說，代碼和開發(fā)環(huán)境的日益復(fù)雜絕對是一個(gè)問題。

“如果你問開發(fā)人員在做什么，那就是代碼質(zhì)量和讓事情變得更簡單，”他說?！八麄冊诰帉懘a時(shí)列出的首要任務(wù)是代碼質(zhì)量和技術(shù)債務(wù)減少，同樣的數(shù)字表示他們的首要任務(wù)是應(yīng)用程序性能?！?/p>

環(huán)境復(fù)雜性的增加部分是由于開發(fā)人員繼續(xù)在新舊語言和環(huán)境中工作。例如，Secure Code Warrior 提供 60 種不同語言和框架的培訓(xùn)。

“隨著應(yīng)用程序向微服務(wù)轉(zhuǎn)移，軟件復(fù)雜性肯定會(huì)隨著向云原生的轉(zhuǎn)變而增長，”Jarboe 說?！斑@些現(xiàn)在由不同的團(tuán)隊(duì)開發(fā)，他們必須相互溝通并與安全團(tuán)隊(duì)溝通，這可能很困難，并增加了公司內(nèi)部的復(fù)雜性?！?/p>

所有這些都給公司文化帶來了壓力?！耙虼?，要取得成功，組織的文化必須改變一直以來的做事方式，”Jarboe 說。

然而，這些變化現(xiàn)在特別困難，因?yàn)殚_發(fā)人員必須應(yīng)對所有并行轉(zhuǎn)換，包括 DevOps 和敏捷運(yùn)動(dòng)，以及大流行。

可以提供幫助的一件事是自動(dòng)安全網(wǎng)或護(hù)欄。“沒有[這些]，開發(fā)人員無法始終以他們需要的速度解決問題，以滿足最后期限，”Jarboe 說。“但如果你有自動(dòng)測試來告訴你代碼何時(shí)被破壞，你就可以專注于修復(fù)問題，而不是擔(dān)心破壞問題?！?/p>

培訓(xùn)和技能提升的需要

開發(fā)人員對是否需要更多培訓(xùn)給出了相互矛盾的回應(yīng)。雖然大多數(shù)人認(rèn)為他們之前的安全代碼培訓(xùn)良好或優(yōu)秀，但 92% 的受訪者表示他們團(tuán)隊(duì)中的其他人需要更多的安全框架培訓(xùn)。

盡管仍然存在包含漏洞的代碼，但 81% 的人表示他們會(huì)定期在工作中進(jìn)行安全培訓(xùn)。然而，只有 43% 的人表示培訓(xùn)與他們的工作高度相關(guān)，超過一半的人表示不熟悉常見的軟件漏洞、如何利用這些漏洞以及避免這些漏洞的方法。

“組織并不總是給開發(fā)人員時(shí)間來提高自己的技能，”麻豆說。“項(xiàng)目的最后期限通常是昨天，因此他們必須開發(fā)新的特性和功能，而不考慮安全性，而只關(guān)注組織的短期目標(biāo)?！?/p>

從代碼中創(chuàng)建漏洞到發(fā)現(xiàn)漏洞平均需要大約兩年時(shí)間。因此，以軟件安全為目標(biāo)的組織必須提前數(shù)年進(jìn)行規(guī)劃，麻豆解釋說?！八麄冞€必須考慮新員工的技能和培訓(xùn)?！?/p>

通常，開發(fā)人員無法明確說明安全編碼的實(shí)際含義。這是因?yàn)榇髮W(xué)課程中很少有關(guān)于如何創(chuàng)建安全代碼的課程。

“為什么要提高自己的編碼水平？因?yàn)樵陂_發(fā)周期開始時(shí)你會(huì)犯錯(cuò)誤，每個(gè)人都會(huì)犯錯(cuò)，”麻豆說?！爸挥性谥芷诮Y(jié)束時(shí)，您才會(huì)意識(shí)到您的代碼具有安全影響并且可能被濫用。因此，如果您學(xué)習(xí)如何編寫安全代碼，您將被視為優(yōu)秀的開發(fā)人員。在報(bào)告中，大多數(shù)經(jīng)理表示他們在雇用新開發(fā)人員時(shí)需要安全技能。”

審核編輯 黃昊宇