官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Tromzo发布一项调查表明,改善安全团队与开发人员的关系,有助于在提高软件安全性上发挥更大作用。该调查结果基于对403名美国应用程序安全从业者的调查,这些从业者在其开发团队使用CI/CD系统的组织中工作。
Tromzo首席执行官表示:“调查结果证实了这个观点,即安全团队有必要在2022年将改善与开发者的关系作为一项首要任务。”当将安全性推迟到软件开发过程的后期时,这种延迟会以明显和意外的方式使公司付出巨大的代价。
但可以通过为开发人员简化安全措施来增加软件的安全性,这意味着将安全检测集成到SDLC中,并将安全防御从被动转到主动上来。
应用程序安全状态
应用程序安全态势仍旧很严峻,67%的人在过去一年中经历过安全事件。如果安全团队确信在开发环境中实施了安全防御及安全检测措施,会降低发生严重安全事件的风险。
40%有5,000个或更多安全漏洞需要解决,而且在过去12个月中,这一比率迅速增加。这种漏洞的激增是AppSec团队必须尽早解决的普遍问题。
与其将安全性推迟到以后,不如让它成为开发过程的核心部分。将安全性注入到每个开发决策中,而安全工作的总体成本也会降低。
在引入缺陷的那一刻修复它是最容易的。以后修复它的难度呈指数级增长。例如,在设计阶段引入的缺陷直到部署后才得到解决,这将需要付出更多的努力来修复。数据显示它需要25倍的努力。
让安全成为开发过程的一部分
42%的人认为看到的误报和噪音较多。误报和噪音是缺乏上下文的安全工具的副产品,常见的静态代码检测工具会存在一些类似问题,但随着技术深入及检测工具对上下文敏感的运用,当前存在误报率、漏报率等问题大大降低的工具。
减少开发人员和安全性之间的摩擦将对改进应用程序安全性程序产生重要的影响。任何试图将安全与开发团队之间的冲突最小化的尝试,如果不包括将安全向左转移,都不可能成功。安全性在开发周期结束时实现,很可能造成与开发人员的摩擦,进而导致安全的应用程序部署延迟。
忽视安全是开发者最大的挑战。这个问题通过将安全左移可以进行有效解决,在整个SDLC中集成安全检测将显着改善与开发人员的关系,从外部防御软件安全转移到主动提高软件安全上来,协助开发人员能够开发安全代码。当建立了安全性时,企业可以节省精力、最大限度地提高生产力、在引入漏洞时快速解决它们,甚至完全避免引入漏洞。
参读链接:
https://www.helpnetsecurity.com/2021/12/29/improve-application-security/