安全开发已成共识 但为什么86%的开发人员却表示“做不到”

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:2022-04-08
Secure Code Warrior最近发布了一项调查结果,发现开发人员对软件安全的态度和行为是相互矛盾的。尽管许多开发人员都认同在软件开发生命周期中采用以安全为主导的方法非常重要,但86%的开发人员在实际编写代码时并未将应用程序的安全视为首要考虑事项。

 
多因素导致应用程序安全未居首位
 
研究发现,在接受调查的1200名开发人员中,超过一半的人员无法确保他们的代码能够免受七种常见漏洞的影响。这是另一个重要发现的促成因素——只有29%的开发人员认为应该优先考虑积极编写没有漏洞的代码。
 
尽管开发人员和组织认识到关键应用程序中的威胁和漏洞可以在早期的开发过程中得到缓解,但他们仍继续采取被动性措施在事后来解决这些缺陷。
 
开发人员也指出许多管理制度上的障碍,阻碍着他们在软件开发生命周期的早期创建安全代码。24%的开发人员面临时间上的要求,他们需要在最后期限(DDL)之前提交代码,这使得他们无暇顾及程序的安全性,另有20%的开发人员没有从他们的上级那里接受过足够的培训或指导,导致在安全编码的实践上存在困难。
 
不同的培训经验越发重要
 
培训仍然是影响开发人员应用安全编码的主要因素,因为81%的开发人员几乎每天都在使用从培训中获得的知识。然而,尽管已经有了高频率、高比例的培训机制,但研究发现,67%的开发人员仍有意地在他们的代码中发布漏洞。
 
四分之一的开发人员希望在自定进度的多媒体指导下进行更多培训,五分之一的开发人员认为如果获得行业认证,培训将得到大大改善。
 
Secure Code Warrior首席执行官Pieter Danhieux表示,开发人员现在开始更加关心安全性,但他们的工作环境并不总是让他们很容易地将其作为优先事项。通常,他们使用的工具以及他们正在部署的方法只能‘勉强应付’,而不是主动降低风险,而且他们的优先事项仍然与安全团队不一致。
 
其他调查结果表明开发人员在安全编码实践中持续面临的困难:
 
36% 的开发人员将优先满足最后期限(DDL)视为他们的编码仍然存在漏洞的主要原因;
33% 的开发人员并不清楚他们的代码易受攻击的原因;
30% 的开发人员认为,如果他们的内部安全培训更贴近现实中的场景和结果,培训效果可以得到极大的改善;
30% 的开发人员表示,实施和实践安全编码时最大的担忧是处理同事带来的漏洞。
 
虽然组织鼓励实现安全编码,但开发人员不清楚如何在日常工作中定义安全编码,以及组织对他们的期望是什么。为了达到更高的代码质量标准,组织必须制定正式的适用于开发人员的安全编码标准,并在行为上加以引导,以强化良好的编码模式并快速实现安全性。