开发人员何时能与安全团队达成共识?将安全流程左转移面临的挑战
开发人员意识到编码的重要性有多必要?
在测试、发布阶段纠正缺陷的成本是编码阶段发现并纠正缺陷的成本的15-90 倍,如果在交付用户之后才发现并解决缺陷,这个数字将达到 50-200 倍。
因此,在编码实现阶段发现并解决尽可能多的缺陷,能够极大降低缺陷管理成本,据相关统计数字估计,这个成本至少可以降低 1/3。
最近备受瞩目的供应链攻击增加了对开源社区加强监管的必要性。例如在美国,拜登总统最近的行政命令要求政府供应商“在可行的范围内证明产品任何部分中使用的开源软件的完整性和出处”。
该指令的挑战在于,近60%的软件开发人员几乎没有接受过安全编码培训。开发人员传统上专注于推出创新的、稳定的产品,而不是对安全警报进行分类。
他们通常更愿意享受开源代码带来的便利性,而不是担心其中的风险。开发人员依赖开源组件,因为这些是现成的代码片段,可以帮助他们提高开发效率跟上软件产品的发布时间。他们经常让他们的安全团队在开发过程的最后再来发现软件中的问题。
开发人员与安全团队
开发人员对开源组件的依赖往往对安全团队的谨慎态度构成挑战。
根据最近一项研究,只有31%的组织报告在开发人员和安全专业人员之间就漏洞修复的优先级流程达成一致。许多软件公司甚至为开发和安全团队制定了单独的指导方针。由于团队之间的脱节,安全专业人员经常购买忽视开发人员需求和流程的应用程序安全工具。
开发人员和安全专业人士在这一问题上都表示很有压力,为了完成开发流程不得不在安全措施上“打勾”,但关注安全问题意味着会降低开发速度,而企业更多会选择牺牲安全性来加快开发速度,这为黑客利用开源代码中的安全漏洞打开了大门。
左移有助于缩小差距
左移的做法有助于弥合开发人员和安全专业人士之间的鸿沟;它将安全测试和漏洞管理移至开发的最早阶段。
在左移模型中,所有测试、反馈和修订都在整个开发过程中持续执行。这可以帮助企业及早识别其应用程序中的安全风险,以免它们变得更复杂、更耗时且修复起来更昂贵。
如何实施左移?
为了确保有效实施左移实践,开发人员需要代码安全检测工具和流程的支持,使他们能够在创建时不必放慢安全合规性。
目前,在很多企业中由不同工具如静态代码检测工具、SCA、DAST等构建的左移模型,但关于开源代码使用的新法规可能为企业引入过多的规则和责任来检测漏洞。
应用程序安全工具可以帮助开发和安全团队在开发早期解决安全性和开源许可证合规性问题。包括一些自研代码中的安全问题也可以通过代码安全检测工具进行检测其安全性。
参读链接:
https://www.helpnetsecurity.com/2021/10/28/regulation-fatigue/