管理书籍排行榜,已完本玄幻小说排行榜,有声小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

開發(fā)人員需要什么來對(duì)抗常見漏洞

當(dāng)今的威脅形勢(shì)在不斷演變，現(xiàn)在每個(gè)部門的組織和企業(yè)比以往任何時(shí)候都更迫切需要始終如一地生產(chǎn)和維護(hù)安全軟件。雖然一些垂直行業(yè)——例如金融業(yè)——在一段時(shí)間內(nèi)一直受到監(jiān)管和合規(guī)要求的約束，但我們看到美國、英國和英國等最高級(jí)別政府對(duì)網(wǎng)絡(luò)安全最佳實(shí)踐的關(guān)注正在穩(wěn)步增加。澳大利亞最近都在強(qiáng)調(diào)在 SDLC 的每個(gè)階段進(jìn)行安全開發(fā)的必要性。

盡管如此，攻擊者仍在不斷尋找新的方法來繞過最先進(jìn)的保護(hù)和防御。例如，許多人已經(jīng)將他們的重點(diǎn)從交付惡意軟件轉(zhuǎn)移到破壞 API 或?qū)?yīng)鏈發(fā)起有針對(duì)性的攻擊。雖然這些高級(jí)別事件的發(fā)生頻率要高得多，但更簡單的攻擊（如跨站點(diǎn)腳本和 SQL 注入）也是如此，這兩種攻擊幾十年來一直是網(wǎng)絡(luò)安全防御的禍害。就在上個(gè)月，WooCommerce WordPress 插件中報(bào)告了一個(gè)嚴(yán)重的 SQL 注入漏洞，嚴(yán)重程度為 9.8/10。

越來越明顯的是，雖然網(wǎng)絡(luò)安全平臺(tái)和防御是防御現(xiàn)代攻擊的關(guān)鍵組成部分，但真正需要的是可以無漏洞部署的安全代碼。這需要有安全意識(shí)的開發(fā)人員采取行動(dòng)，有意識(shí)地、堅(jiān)定地提升安全編碼標(biāo)準(zhǔn)。

許多開發(fā)人員表示他們?cè)敢鈸碜o(hù)安全并致力于更高標(biāo)準(zhǔn)的代碼質(zhì)量和安全輸出，但他們不能單獨(dú)做到這一點(diǎn)。我們不能忽視開發(fā)人員在與常見漏洞作斗爭時(shí)的需求，他們需要合適的工具和培訓(xùn)的支持，以及改造他們的雇主和組織通常用來評(píng)判他們的傳統(tǒng)指標(biāo)。

為什么大多數(shù)開發(fā)人員尚未將安全放在首位

編碼最佳實(shí)踐多年來不斷發(fā)展，以響應(yīng)業(yè)務(wù)需求和市場(chǎng)趨勢(shì)。過去，大多數(shù)應(yīng)用程序都是使用所謂的瀑布開發(fā)模型創(chuàng)建的，在該模型中，軟件工程師努力讓他們的代碼準(zhǔn)備好滿足一系列正在進(jìn)行的里程碑或目標(biāo)，然后再進(jìn)入下一階段的開發(fā)。Waterfall 傾向于支持程序的開發(fā)，這些程序已經(jīng)一路滿足了所有先前的里程碑，并且在為生產(chǎn)環(huán)境做好準(zhǔn)備時(shí)沒有錯(cuò)誤或操作缺陷。但按照今天的標(biāo)準(zhǔn)，它的速度慢得令人痛苦，有時(shí)從開始一個(gè)項(xiàng)目到到達(dá)終點(diǎn)線之間需要 18 個(gè)月或更長時(shí)間。如今，這在大多數(shù)公司都行不通。

敏捷方法傾向于取代瀑布方法，更加強(qiáng)調(diào)速度。緊隨其后的是 DevOps，它通過將開發(fā)和運(yùn)營結(jié)合在一起來提高速度，以確保程序幾乎在完成最終開發(fā)調(diào)整后就可以投入生產(chǎn)。

隨著業(yè)務(wù)環(huán)境的發(fā)展，將速度置于安全之上，以及功能之外的幾乎所有其他方面都是必要的。在基于云的世界中，每個(gè)人都始終在線，數(shù)以百萬計(jì)的移動(dòng)交易每隔幾秒鐘就會(huì)發(fā)生一次，盡快部署軟件并進(jìn)入持續(xù)集成和持續(xù)交付 (CI/CD) 管道是關(guān)鍵任務(wù)對(duì)于企業(yè)。

這并不是說組織不關(guān)心安全性。只是在大多數(shù)行業(yè)存在的競爭激烈的商業(yè)環(huán)境中，速度被認(rèn)為更為重要。能夠達(dá)到這種速度的開發(fā)人員蓬勃發(fā)展，以至于它成為判斷他們工作績效的主要手段。

現(xiàn)在高級(jí)攻擊正在急劇增加，部署易受攻擊的代碼正成為一種負(fù)擔(dān)。這種偏好再次發(fā)生變化，安全性越來越成為軟件開發(fā)的主要焦點(diǎn)，速度緊隨其后。事后加強(qiáng)安全性不僅危險(xiǎn)，而且還會(huì)減慢軟件部署過程。這導(dǎo)致了DevSecOps方法的興起，該方法試圖將速度和安全性結(jié)合在一起以幫助生成安全代碼，并將安全性視為共同責(zé)任。但是，如果沒有組織的大力支持，受過純粹速度訓(xùn)練的開發(fā)人員無法在功能上具備安全意識(shí)。

開發(fā)人員需要什么才能真正對(duì)減少漏洞產(chǎn)生影響

好消息是，大多數(shù)開發(fā)人員希望在開發(fā)過程中看到轉(zhuǎn)向安全編碼和重新確定安全性的優(yōu)先級(jí)。今年早些時(shí)候，Evans Data 對(duì)全球 1,200 多名積極工作的專業(yè)開發(fā)人員進(jìn)行了一項(xiàng)綜合調(diào)查，絕大多數(shù)人表示他們支持創(chuàng)建安全代碼的概念。大多數(shù)人還希望它成為他們組織中的優(yōu)先事項(xiàng)。然而，只有 8% 的受訪者表示編寫安全代碼很容易實(shí)現(xiàn)。這在大多數(shù)組織的開發(fā)團(tuán)隊(duì)中留下了很大的改進(jìn)空間，在需要什么和達(dá)到目標(biāo)所需要的東西之間。

簡單地要求安全代碼不會(huì)完成工作，如果不努力培養(yǎng)正確的技能和意識(shí)，這將對(duì)他們的工作流程造成高度破壞。開發(fā)團(tuán)隊(duì)需要存在于培養(yǎng)他們的安全思維并促進(jìn)共同責(zé)任文化的環(huán)境中。

最需要的是為他們提供更好的培訓(xùn)，其次是幫助使安全編碼成為他們工作流程的無縫部分的工具。并且該程序應(yīng)該是定制的，以便經(jīng)驗(yàn)不足的開發(fā)人員可以通過學(xué)習(xí)如何識(shí)別經(jīng)常潛入代碼的常見漏洞類型來開始他們的培訓(xùn)，并提供大量實(shí)踐學(xué)習(xí)和示例。同時(shí)，展示其安全技能的更高級(jí)開發(fā)人員可以承擔(dān)更復(fù)雜的錯(cuò)誤甚至高級(jí)威脅建模概念的任務(wù)。

除了資助和支持培訓(xùn)計(jì)劃，包括讓開發(fā)人員有足夠的時(shí)間遠(yuǎn)離編碼以便正確參與這些計(jì)劃，組織還需要改變?cè)u(píng)估其隊(duì)列的方式。獎(jiǎng)勵(lì)開發(fā)人員的主要指標(biāo)需要從原始速度轉(zhuǎn)變。相反，評(píng)估可以獎(jiǎng)勵(lì)那些能夠創(chuàng)建沒有漏洞或漏洞利用的安全代碼的人。是的，速度也可以是一個(gè)評(píng)估因素，但首要的是，代碼需要安全，現(xiàn)代開發(fā)需要開辟一條道路，讓速度安全不再是神話。

運(yùn)送不安全或易受攻擊的代碼不應(yīng)成為可接受的業(yè)務(wù)風(fēng)險(xiǎn)，事后加強(qiáng)安全性變得越來越無效。值得慶幸的是，對(duì)抗這種令人不安的趨勢(shì)的最佳武器是讓開發(fā)者社區(qū)生成攻擊者無法利用的安全代碼。大多數(shù)開發(fā)人員都愿意迎接這一挑戰(zhàn)；給予他們支持以實(shí)現(xiàn)它。

注意 —本文由 Secure Code Warrior 的首席技術(shù)官兼聯(lián)合創(chuàng)始人 Matias Madou 撰寫和貢獻(xiàn)。

文章標(biāo)題：開發(fā)人員需要什么來對(duì)抗常見漏洞
網(wǎng)站路徑：http://m.fisionsoft.com.cn/article/coegcdg.html

新聞中心

為什么大多數(shù)開發(fā)人員尚未將安全放在首位

開發(fā)人員需要什么才能真正對(duì)減少漏洞產(chǎn)生影響

其他資訊