通往DevSecops的道路并不总是最顺利的
瑞士苏黎世大学的一项研究显示,尽管对软件公司的安全编码实践的认识越来越大,但开发人员仍在努力发现和报告安全问题。
组织正在“左转”到软件开发周期的早期阶段,例如代码审查。但是,研究人员发现,他们做得不足以支持安全的编码和培训开发人员进行安全培训。
安全“不是优先事项”
苏黎世大学副教授,研究的合着者Alberto Bacchelli告诉,我们提供了证据,证明开发人员在代码审查期间经常错过漏洞。”每日swbeplay2018官网ig。
“这些研究强调了开发人员对安全的心理态度如何成为这种行为背后的原因。”
不要错过前CISA主任克里斯·克雷布斯(Chris Krebs
研究专注于开发人员在代码审查中如何看待安全性。研究人员采访了10名开发人员,并调查了182名开发人员。
他们的发现表明,尽管大多数参与者开发了对安全敏感的软件系统,但安全性仍然“在审查期间不是优先事项”,并且可以“比报道的频率少”评估。
此外,“由于他们对开发应用程序的安全动态的假设,开发人员可能会在审查期间无视安全方面。”
Bacchelli说:“一方面,开发人员确实认识到在代码审查期间确保软件安全的重要性。”“另一方面,由于缺乏适当的安全培训和知识,他们难以这样做。”
公司必须扮演更积极的角色
该研究还强调了在代码审查期间改善安全性的组织缺陷。
Bacchelli说:“我们绝大多数参与者认为公司应该做更多的事情来支持安全的做法。”
例如,开发人员对执行安全的代码审查没有得到认可。此外,公司不提供安全培训,并希望开发人员自己获得安全技能。
巴切利说:“原则上,组织可以考虑提高安全意识,并将更严格的软件安全政策纳入其开发过程中,以创造不同的态度。”
研究人员提出的一些建议正在为开发人员纳入明确的奖励系统,这些开发人员确保应用程序中的安全性并提供安全培训并允许学习时间。
研究人员还强调,应在不同的开发人员和团队之间明确概述责任。
巴切利说:“开发人员需要谨慎,并围绕安全假设传播意识,例如认为安全是另一个应用程序的组成部分或团队的责任。”
代码评论的限制
Synopsys Software Integrity Group的高级软件工程经理Allon Mureinik说:“代码审查本身是一种难以检测安全漏洞的解决方案。”每日swbeplay2018官网ig。
在确认研究结果的同时,Mureinik还指出,通常不会根据安全专业知识来选择代码审阅者,而不是根据给定编程语言或域名的知识和经验。
“When performing code review under stressful situations (e.g., near deadlines, which are common in the tech industry), reviewers are probably more likely to revert to focusing on their comfort zone, which for the most part won’t be security,” Mureinik said.
Mureinik还警告说,最终人类审稿人不可避免地会犯错误,并且他们的努力应与一定程度的自动化相辅相成。
Mureinik说:“尽管自动化工具永远不会完全取代人类审稿人,但它们可以用来检测常见和明显的安全缺陷,并让人类审稿人专注于需要全面关注的更复杂的问题。”
