开发人员需要“像攻击者一样思考”来提高软件安全性技术新闻

2018-04-17

随着企业变得越来越以技术为中心,黑客发现一个会消耗所有辛苦赚取的客户价值的漏洞的可能性越来越大。这是当开发人员发现自己处于紧张状态时。虽然传统IT企业可能不会将安全放在首要位置,或将其归咎于单独的安全团队,但这显然降低了应用程序开发的速度,并造成双方之间的敌对关系。

Veracode的一份新报告认为,尽管开发人员确实关心安全性,并且正在逐渐改善,但还需要完成更多工作 - 包括“像攻击者一样思考。 “

在其关于软件安全状态的最新开发者指南中,应用安全公司在2016年4月至2017年的12个月期间内发布了400,000次应用扫描。从这些数据中,开发人员只记录了所有缺陷的14.4%的减少,而这个数字,只有25%是误报,换句话说,那些实际上没有的问题,或者“游戏系统”正如报告所说的那样。

但这并不意味着应用程序安全性尽可能高。与OWASP排名前10的漏洞(破坏的访问控制,安全配置错误等)相比,第一次扫描时只有30%的时间通过了应用程序。

这与以前没有什么不同;过去五份报告的汇率一直在三分之一或以下。 SQL注入漏洞出现在今年新近扫描的应用程序中的27.6%,这个数字低于以前的数字,但与过去的五个报告类似,均在29%和32.2%之间。然而,报告指出,拥有至少10年AppSec计划的组织确实要好得多。按照OWASP排名前10的合格率排名,该数字为43%。

“DevSecOps”的兴起

为了实现AppSec战略,报告提供了一些想法。例如,在发现某些开发人员“可能会根据关于应用程序可能受到攻击的一些不合理的假设来刷新安全建议”之后,它提出了一个像攻击者一样的思考方式。

“我们在缓解评论中发现的一个常见风险因素是,一些开发人员仍然相信用户的投入会令人不安,”?报告指出。 “虽然99%的合法用户绝对不会在输入领域输入任何恶意内容,但少数攻击者仍然需要担心。 â€?

另一种改进方法是迁移到DevSecOps环境。随着DevOps要求组织进行更频繁的测试和迭代,DevSecOps要求他们也应该提高安全扫描的频率。报告发现数据逐年上升。超过三分之一(36.5%)的组织仍然每年只进行一次测试,但在2016年只有38.5%。每月,每月两次和每周测试的组织的比例都上升了。

也许调查中最有趣的部分与开发人员和安全专业人员之间的关系有关。报告指出,如果他们仍然以最佳武装的中立态度和最糟糕的蔑视态度看待对方,那么这一点必须改变。 “如果我们一直在努力达到弥补开发者与安全团队之间差距的地步,那么双方的态度必须有所改变。”该报告解释说。

由Kunal Doley提供