在 2022 年的开幕主题演讲中 黑帽 安全会议, 克里斯·克雷布斯国土安全部前网络安全主管表示,安全性在变得更好之前会变得更糟。 为什么? 克雷布斯说,“软件仍然容易受到攻击,因为不安全产品的好处远大于坏处。” 整个软件开发生命周期 (SDLC) 的重点不是确保安全,而是击败市场竞争。 事实上,创新常常与安全相矛盾——前者被认为是快节奏和高效的,而后者是阻碍快速发展的应用程序开发的障碍。 在当前的威胁形势下,这种观点被证明是过时的。
随着网络攻击的增加,软件供应链成为网络犯罪分子的热门目标,他们认识到感染不安全代码时会造成巨大破坏。 比如现在臭名昭著的 Log4Shell 漏洞带来了如此大的风险,因为开源 Log4j 在全球范围内的软件应用程序和在线服务中非常普遍,利用该漏洞需要很少的专业知识。 最近,该 25,000 个恶意插件 在 WordPress 网站上发现的这一发现突出了许多企业面临的网络安全风险,尽管他们认为他们在其网站中使用了安全的应用程序和程序。
因此,必须从一个单一的角度看待创新和安全; 没有另一个是不可能的。 更重要的是,安全不再是一个孤立团队的责任。 它必须是整个 SDLC 中每个人的优先事项。
AppSec 困境
尽管增加了对应用程序开发的投资,但同样的重要性并未应用于安全性。 在这样一个竞争激烈的空间中,先行者往往会得到回报。 那些带着“第一个可行产品”进入市场的人可能会关注该产品如何为客户服务,而不是如何安全使用。 有了这些很高的期望,对开发人员的代码需求也增加了 100倍 在过去的 10 年中,92% 的人感到有压力要更快地编写代码。 将此与以下事实配对 53% 没有受过专业的安全编码培训,而内部的新漏洞数量 NIST 国家漏洞数据库在过去几年中增加了 200% 以上,我们似乎处于应用程序安全困境中。
然而,这并不是一个无法解决的困境。 该解决方案需要彻底改变许多人看待编码和创新的方式,特别关注人们的思维方式。 它把安全放在首位,并认识到如果最终产品更安全,可以放慢上市速度。 根据 伯姆定律,“发现和修复缺陷的成本随着时间的推移呈指数增长”——这一概念可以使从一开始就优先考虑安全性的组织的底线受益。
建立这种安全第一的心态至关重要——不仅对开发团队,而且对在 SDLC 中发挥作用的每个人都是如此。 产品和项目经理、DevOps、用户体验 (UX) 设计师和质量保证 (QA) 专业人员都会影响最终结果,因此需要认识到当前应用程序安全的困境以及如何克服这一挑战。
获得正确的综合教育
如果团队不理解 为什么 安全第一的心态在应用程序开发中非常重要,他们永远不会接受 形成一种 它可以实现。 因此,对整个开发组织进行集成和持续的应用程序安全教育从未像现在这样重要。 对于那些创建代码的人来说,在动手练习之前提供基础学习非常重要,这些练习直接涉及他们每天面临的问题。 这种针对开发人员的教育应与基础和高级应用程序安全培训计划同时进行,这些培训计划针对那些在 SDLC 中可能不一定需要动手专业知识的角色。 这些举措将使整个团队能够以不同的方式思考,做出更明智的决策,并将安全性整合到开发的各个方面。
然而,组织必须了解应用程序安全性不断发展和变化,这一点很重要。 建立一个在开发周期的每一步都应用关键 AppSec 原则的具有安全意识的团队无法通过“一次性完成”的培训计划来完成。 为确保团队保持这种安全第一的心态,持续和不断发展的教育计划是关键。
许多组织通过承认和庆祝安全冠军来吸引团队,他们领导了整个团队的安全行为转变。 通过向那些在日常工作中持续应用安全最佳实践的人提供激励或奖励,他们鼓励拥护者与他人互动并有机地影响变革。 例如,通过衡量结果(例如培训计划之前和之后代码中的漏洞数量)并识别成功,也更容易获得董事会的支持,并证明对决策者进行安全编码教育的投资是合理的.
当 SDLC 的人们将安全作为重中之重时,快速创新并在市场上击败竞争对手,同时将安全放在首位是可能的。 事实上,随着漏洞数量的增加和网络攻击没有放缓的迹象,安全编码是任何应用程序成功的必要条件。 只要在持续、定制和可衡量的教育计划中考虑整个 SDLC,安全性就不会 已可以选用 在变得更好之前变得更糟。
