Các nhà phát triển tạo ra phần mềm, ứng dụng và chương trình thúc đẩy hoạt động kinh doanh kỹ thuật số đã trở thành mạch máu của nhiều tổ chức. Hầu hết các doanh nghiệp hiện đại sẽ không thể (có lãi) hoạt động nếu không có các ứng dụng và chương trình cạnh tranh, hoặc không có quyền truy cập 24 giờ vào các trang web và cơ sở hạ tầng khác của họ.
Chưa hết, những điểm tiếp xúc này cũng thường là cổng mà tin tặc và những người dùng bất chính khác sử dụng để lấy cắp thông tin, khởi động các cuộc tấn công và làm bàn đạp cho các hoạt động tội phạm khác như gian lận và ransomware.
Các cuộc tấn công thành công vẫn phổ biến, mặc dù chi tiêu cho an ninh mạng trong hầu hết các tổ chức đang tăng lên và ngay cả khi các phong trào như DevSecOps đang chuyển bảo mật sang những nhà phát triển vốn là mạch máu của doanh nghiệp ngày nay. Các nhà phát triển hiểu rõ tầm quan trọng của bảo mật và hoàn toàn muốn triển khai mã an toàn và chất lượng, nhưng các lỗ hổng phần mềm vẫn tiếp tục bị khai thác.
Tại sao?
Trong năm thứ 2, Secure Code Warrior đã tiến hành Trạng thái của cuộc khảo sát bảo mật do nhà phát triển điều khiển, năm 2022 hợp tác với Evans Data Corp vào tháng 12 năm 2021, khảo sát 1.200 nhà phát triển trên toàn cầu để hiểu các kỹ năng, nhận thức và hành vi khi nói đến các phương pháp mã hóa an toàn cũng như tác động và mức độ liên quan của chúng trong vòng đời phát triển phần mềm (SDLC).
Cuộc khảo sát đã xác định sự thiếu vắng của một định nghĩa rõ ràng hoặc sự hiểu biết về những gì cấu thành mã an toàn. Nó chỉ ra rằng có một sự khác biệt lớn giữa những gì các nhà phát triển nghĩ là mã an toàn và mã bảo mật thực sự là gì.
Không có gì ngạc nhiên khi viết mã chất lượng là ưu tiên hàng đầu của cộng đồng phát triển. Nhưng khi được hỏi cụ thể về mã an toàn, chỉ 29% nói rằng ưu tiên thực hành chủ động viết mã không có lỗ hổng bảo mật. Thay vào đó, các nhà phát triển đã liên kết các phương pháp kém an toàn hơn và kém tin cậy hơn nhiều với việc tạo ra mã bảo mật. Ví dụ: xem xét kỹ lưỡng mã hiện có (37%) và dựa vào các thư viện có nguồn bên ngoài để tìm mã an toàn (37%) là những phương pháp hàng đầu mà các nhà phát triển liên quan đến mã hóa an toàn. Sử dụng lại mã đã được coi là an toàn (32%) là một lựa chọn phổ biến khác. Hoạt động tích cực viết mã không có lỗ hổng bảo mật đứng thứ 6 với 29% cho rằng đây là một thực tiễn hàng đầu trong việc tạo ra mã bảo mật.
Khi được hỏi thêm, việc thiếu thời gian và thiếu phương pháp tiếp cận gắn kết từ cấp quản lý được cho là những rào cản hàng đầu để tạo ra mã an toàn.
Việc phụ thuộc vào mã hiện có là một trong những yếu tố làm tăng nguy cơ phần mềm được vận chuyển với các lỗ hổng có thể khai thác được. Giải quyết tình trạng ngắt kết nối này đối với những gì cấu thành mã an toàn là cần thiết cho các nhà phát triển để tạo ra mã chất lượng cũng an toàn.
Tổ chức có thể làm gì để khắc phục tình hình?
Một trong những thông điệp quan trọng từ cuộc khảo sát là cộng đồng nhà phát triển nói chung chứa đầy những người chuyên nghiệp, những người quan tâm đến những gì họ làm. Viết mã chất lượng hàng đầu vô cùng quan trọng đối với họ với tư cách là một nhóm. Vấn đề là trong nhiều trường hợp, các tổ chức mà họ làm việc không xác định được những phương pháp hay nhất nào cần thiết để tạo ra mã an toàn và không dành đủ nguồn lực để đào tạo hoặc cho phép các nhà phát triển của họ đạt được những mục tiêu đó.
Trên thực tế, hầu hết các nhà phát triển nói rằng tổ chức của họ thậm chí không có định nghĩa rõ ràng về những gì cấu thành mã an toàn. Một trong những ví dụ đáng lo ngại nhất về điều này là 28% người trả lời khảo sát nói rằng tổ chức của họ coi mã là an toàn nếu không có vi phạm nào được báo cáo sau khi một ứng dụng hoặc chương trình được triển khai vào môi trường sản xuất hoặc được cung cấp cho công chúng.
Có thể không cần phải nói, nhưng trong bối cảnh mối đe dọa phức tạp ngày nay, chỉ cần hy vọng vào kết quả tốt mà không thực sự làm việc với chúng có thể sẽ tạo ra kết quả có thể dự đoán được: thậm chí nhiều vi phạm bảo mật hơn.
Rất may, đây là một tình huống tương đối dễ dàng để ít nhất là bắt đầu khắc phục sự cố, và sau đó bắt đầu làm việc hướng tới mục tiêu mã an toàn. Bước đầu tiên và được cho là quan trọng nhất đối với các tổ chức là xác định những gì họ coi là mã an toàn. Và mọi thứ nằm ngoài định nghĩa đó cần được coi là không an toàn.
Mã hóa an toàn nên được định nghĩa là hoạt động của các nhà phát triển có kỹ năng viết mã không có lỗ hổng bảo mật, ngay từ đầu SDLC. Chỉ khi phương thức này được xác định, cộng đồng nhà phát triển mới có thể hướng tới mục tiêu đó.
Biến mục tiêu của mã an toàn thành hiện thực
Khi định nghĩa về mã an toàn được thiết lập, các tổ chức cần phải sẵn sàng hỗ trợ những nỗ lực đó và các nhà phát triển của họ, những người sẽ thực hiện mục tiêu triển khai toàn bộ các thông lệ về mã an toàn. Sự hỗ trợ đó là rất quan trọng. Nếu không có nó, định nghĩa về mã an toàn trong tổ chức của bạn, mặc dù quan trọng, sẽ không hơn một con hổ giấy. Thực hành mã hóa an toàn phải được ban quản lý chứng thực và được xem xét, thẩm quyền và ngân sách thích hợp để thành công.
Điều này có thể yêu cầu các mục tiêu đo điểm chuẩn mới cho các nhà phát triển, những người theo truyền thống được đo lường dựa trên tốc độ viết mã của họ. Trên thực tế, 37% nhà phát triển trong cuộc khảo sát đã báo cáo để lại các lỗ hổng đã biết trong mã của họ vì thời hạn chặt chẽ sẽ không cho phép có thời gian cần thiết để sửa chúng hoặc viết mã đúng cách ngay từ đầu.
Lúc đầu, điều này có thể có nghĩa là tăng thời hạn để các nhà phát triển có thêm thời gian để viết mã đúng cách, mặc dù chi phí đó trong thời gian bắt đầu quá trình viết mã có thể sẽ được bù đắp sau đó vì ít cần sửa đổi chương trình, vá lỗi và sau khi triển khai. công việc. Và việc loại bỏ khả năng vi phạm một cách được triển khai có thể giúp tiết kiệm hàng trăm giờ và có thể hàng triệu USD bị mất doanh thu, tiền phạt và chi phí dọn dẹp.
Các nhà phát triển cũng sẽ yêu cầu đào tạo thực hành có liên quan, đặc biệt là vì nó liên quan đến các lỗ hổng cụ thể mà họ có khả năng gặp phải và giúp học cách xác định và sửa các lỗ hổng mã. Điều này đặc biệt đúng khi có 36% người trả lời khảo sát cho biết họ muốn xóa các lỗ hổng khỏi mã của mình, nhưng không có kỹ năng hoặc kiến thức để làm như vậy.
Bạn muốn đọc thêm thông tin chi tiết có được từ cuộc khảo sát 1200 nhà phát triển trên khắp thế giới của Secure Code Warriors? Bạn có thể truy cập chúng tại đây: State of Developer Driven Security 2022
.
