隨著軟件已成為現(xiàn)代業(yè)務(wù)的支柱，網(wǎng)絡(luò)攻擊已成為一種永遠(yuǎn)存在的威脅，這使得應(yīng)用程序安全成為確保業(yè)務(wù)連續(xù)性的必要條件。本文研究了四個常見的軟件安全開發(fā)問題以及如何解決這些問題。

管理和維護安全軟件的過程可能會給尋求盡快交付功能的開發(fā)人員帶來意想不到的障礙。研究表明，59% 的公司現(xiàn)在每天多次、每天一次或每隔幾天部署一次代碼。然而，隨著軟件成為現(xiàn)代企業(yè)的支柱，網(wǎng)絡(luò)攻擊已成為一種永遠(yuǎn)存在的威脅，這使得應(yīng)用程序安全成為確保業(yè)務(wù)連續(xù)性的必要條件。

左移運動——在開發(fā)過程的早期進(jìn)行安全測試和修復(fù)缺陷——增加了開發(fā)人員在應(yīng)用程序安全方面發(fā)揮作用的需求，但經(jīng)過安全培訓(xùn)的開發(fā)人員仍然存在很大的技能差距。有興趣提高安全知識的開發(fā)人員可以從了解一些常見的 DevSec 問題開始。

挑戰(zhàn)一：漏洞修復(fù)時間緩慢

對于開發(fā)人員和安全團隊來說，最常見的挑戰(zhàn)之一是安全債務(wù)——代碼中存在很長時間的安全漏洞，如舊的信用卡余額，現(xiàn)在解決起來比引入時要昂貴得多。為避免增加安全債務(wù)，開發(fā)人員可以實施自動化掃描和測試。

自動化程度越高越好：在一次年度軟件安全狀況 (SoSS) 報告中，我們發(fā)現(xiàn)將動態(tài)分析 (DAST) 與靜態(tài)分析 (SAST) 結(jié)合使用的組織修復(fù) 50% 的安全漏洞平均快 24.5 天。

更快地查找和修復(fù)新缺陷的另一種方法是更頻繁地掃描。更頻繁的掃描使組織能夠以 22.5 天的速度到達(dá)中間點，并且通過 API 運行 SAST 掃描將修復(fù) 50% 的缺陷的時間縮短了 17.5 天。

研究還表明，穩(wěn)定的掃描節(jié)奏可以幫助您的團隊看到缺陷類型比例的有意義的變化，并隨著時間的推移減少安全債務(wù)。將安全測試視為馬拉松，而不是短跑：在賽事前一周只跑 50 英里并不能為馬拉松做好準(zhǔn)備。

挑戰(zhàn)二：常見代碼安全漏洞的引入

了解哪些缺陷對您的應(yīng)用程序構(gòu)成最大風(fēng)險以及它們是如何引入的，對于防止這些常見缺陷導(dǎo)致的破壞性網(wǎng)絡(luò)攻擊至關(guān)重要。我們的 SoSS 報告發(fā)現(xiàn)，信息泄露 (65.9%)、CRLF 注入 (65.4%)、密碼問題 (63.7%) 和代碼質(zhì)量 (60.4%) 是應(yīng)用程序中最常見的缺陷。為了解決這些常見的缺陷，開發(fā)人員應(yīng)該考慮以下幾點：

對于信息泄露，在編寫代碼時依靠安全編碼最佳實踐并實施安全測試程序。

為防止 CRLF 注入，不要相信用戶輸入，使用正確的驗證和編碼清理用戶提供的數(shù)據(jù)，并確保在 HTTP 標(biāo)頭中正確編碼輸出。

可以通過良好的安全編碼實踐來防止加密漏洞。此外，大多數(shù)主要語言本質(zhì)上都支持良好的加密實踐，并且對不正確實現(xiàn)的擔(dān)憂通常只會在個案的基礎(chǔ)上出現(xiàn)。

通過使用一致的編碼模式、在您的 SDLC 中自動進(jìn)行安全測試并通過有效的培訓(xùn)保持最新狀態(tài)，來防止代碼質(zhì)量不佳問題。

值得注意的是，這四個缺陷年復(fù)一年地一直排在報告的前 10 名，表明開發(fā)人員在意識和培訓(xùn)方面存在差距。事實上，對開發(fā)人員的安全培訓(xùn)可能是最大的挑戰(zhàn)。大學(xué)不僅沒有定期教授安全編碼，而且在職培訓(xùn)也同樣難以獲得，因為大多數(shù)應(yīng)用程序安全都由安全團隊負(fù)責(zé)。為了使開發(fā)人員能夠預(yù)防、查找和修復(fù)代碼中的缺陷，組織需要提供可操作的、真實的培訓(xùn)，開發(fā)人員可以立即應(yīng)用這些培訓(xùn)來加強他們所學(xué)的知識，并使其成為日常工作的一部分。

挑戰(zhàn)三：依賴開源庫，但只掃描內(nèi)部編寫的應(yīng)用程序代碼

開源代碼幾乎無處不在。當(dāng)您考慮到許多開源庫不是由開發(fā)人員直接選擇時——應(yīng)用程序中 46.6% 的不安全開源庫是可傳遞的，由另一個正在使用的庫引入應(yīng)用程序——很容易理解開源代碼如何擴展攻擊面在應(yīng)用程序中。事實上，我們的研究發(fā)現(xiàn)，71% 的應(yīng)用程序在初始掃描時在開源庫中存在缺陷。

集成軟件組合分析 (SCA) 等掃描工具可以幫助更準(zhǔn)確地檢測開源漏洞。由于 74% 的開源缺陷可以通過補丁、修訂或主要/次要版本更新來修復(fù)，因此該過程可以有效緩解。

使用正確的工具來掌握代碼是降低風(fēng)險和確保您可以自信地使用開源庫的關(guān)鍵。

挑戰(zhàn)四：代碼中高危和非常高嚴(yán)重性缺陷的過剩

無論您喜歡哪種軟件語言，了解對它們影響最大的缺陷都將幫助您在錯誤成為更大問題之前防止錯誤。我們的數(shù)據(jù)顯示，某些語言比其他語言具有更多的高風(fēng)險缺陷，這意味著應(yīng)該仔細(xì)設(shè)計和測試用特定語言編寫的代碼。一些例子包括：

• C++ 應(yīng)用程序：近 60% 的應(yīng)用程序存在高度和非常高的嚴(yán)重性缺陷;常見缺陷包括錯誤處理、緩沖區(qū)管理錯誤、數(shù)字錯誤和目錄遍歷缺陷。
• PHP 應(yīng)用程序： 52.6% 的 PHP 應(yīng)用程序存在高度和非常高的嚴(yán)重性缺陷;最常見的缺陷包括跨站點腳本 (XSS)、加密問題、目錄遍歷錯誤和信息泄漏漏洞。
• Java 應(yīng)用： Java 以 CRLF 注入缺陷、代碼質(zhì)量問題、信息泄漏和密碼問題領(lǐng)先;Java 應(yīng)用程序 97% 是第三方代碼，并帶有更大的看不見的風(fēng)險。

通過檢查各種常見語言的缺陷頻率趨勢，開發(fā)人員可以更好地了解他們在編碼時面臨的日常風(fēng)險，并可以使用這些知識在這些缺陷成為問題之前提前解決。

實施安全編碼實踐并利用實踐培訓(xùn)來增加專業(yè)知識將有助于確保應(yīng)用程序的安全性能夠跟上現(xiàn)代開發(fā)需求。當(dāng)開發(fā)人員不僅能夠發(fā)現(xiàn)，而且能夠修復(fù)他們的代碼中的缺陷時，他們將在成為更精通安全的開發(fā)人員的道路上走得很好。