开发人员越来越重视安全编码
共 1413字,需浏览 3分钟
·
2022-04-08 09:58
在安全编码成为其文化的一部分之前,软件公司和开发团队还有很长的路要走,但有迹象表明,程序员和他们的公司都在更加重视安全。
安全培训公司Secure对1200名软件开发人员进行的一项调查显示,虽然只有14%的开发人员认为应用程序安全是他们编码时的首要任务,但三分之二的人认为应用程序安全将在未来 12到18个月内变得更加重要。安全培训公司和市场情报公司调查发现,代码质量、应用程序性能和解决实际问题是三个首要任务。
安全培训公司首席执行官Pieter Danhieux表示,企业在将安全编码融入其开发文化方面取得了进展,但仍面临很大挑战。
结果令人欣慰,因为开发人员正积极期待软件安全成为更高级别的优先项,然而由于旧习惯很难打破,企业需要创建促进关注代码安全的环境,因此还有鸿沟需要克服。
安全培训公司的2022 年开发人员驱动的安全状况调查与之前对开发人员对应用程序安全态度的研究一致。例如,2020 年对开源贡献者的一项调查发现,大多数程序员都希望编写新功能、改进工具和研究新想法,而安全性在优先级方面排在最后。
这项最新调查强调,将安全性纳入开发流程仍然具有挑战性。大约一半的开发人员(48%)知道代码中存在漏洞,而另外19%的人相信他们的一些项目中存在漏洞。
开发人员指出了由于几种原因而导致缺乏对编码安全性的关注。例如,四分之一的开发人员 (24%) 在项目开始时没有足够的时间来集成安全编码,而19%的开发人员认为公司没有实施安全编码的统一计划。
调查报告称:“所有这些努力的共同点是,对开发人员社区的不断依赖,以帮助推动这些急需的变化。” “从开发人员的角度来看,这些安全运动更多是关于‘从左开始’而不是转向它,因为正确开始这个过程的最终责任应该从他们开始。”
报告称“所有这些努力都有一个共同点,那就是不断依赖开发人员社区来帮助推动这些急需的变化,”“从开发者的角度来看,这些安全行动更多的是‘从左开始’,而不是“左移”。”
提高代码安全性 减少返工
开发人员明白,从长远来看,更好的应用程序安全性确实可以帮助团队提高生产效率。超过一半的受访者认为安全编码是消除漏洞(53%)和错误(52%)的方法,从而消除未来的返工。
此外,41%的开发人员在他们的项目中把功能和安全性放在同等的地位,一半(49%)认为安全编码是一个基本的目标。
漏洞宿命论
该调查还发现,许多公司缺乏构成安全程序或安全编码的定义。大多数公司(61%)使用了已经被批准的组件和库,因为这些库被认为是安全的,而几乎同样多的公司积极运行安全分析工具,如静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)。
然而,不可否认的是,开发者永远不可能捕获所有的漏洞,公司是否会继续努力主动保护代码或对最新的漏洞做出反应,还有待观察。Danhieux说。
他说:“如果不安全的代码被认为是一种可接受的商业风险,那么就需要对安全计划进行彻底改革,以使其适应现代威胁形势,更不用说客户的期望以及网络安全方面日益有效的合规和监管措施。”
关键词标签:代码安全,软件安全,漏洞检测,SAST,静态代码检测
文章来源:
https://www.darkreading.com/application-security/developers-increasingly-prioritize-secure-coding