開發(fā)驅動數字業(yè)務的軟件、應用和程序的開發(fā)者已成為許多企業(yè)的命脈。如果不具備有競爭力的應用和程序，或者沒有對其網站和其他基礎設施的24 小時訪問，大多數現代企業(yè)將無法（盈利）運作。

然而，這些相同的接觸點通常也是黑客和其他惡意用戶用來竊取信息、發(fā)動攻擊和引發(fā)其他犯罪活動（如欺詐和勒索軟件）的途徑。

盡管大多數企業(yè)在增加網絡安全方面的投入，而且像 DevSecOps 這樣的策略正在將安全性轉移到那些作為企業(yè)命脈的開發(fā)者身上，但成功的攻擊仍然很普遍。開發(fā)者了解安全的重要性，并且非常希望部署安全和高質量的代碼，但軟件漏洞仍在繼續(xù)被利用。

為什么軟件漏洞持續(xù)存在？

2021 年 12 月，全球安全編碼公司Secure Code Warrior聯合埃文斯數據公司（Evans Data Corp）合作開展了“2022 年開發(fā)者驅動的安全狀況調查”，對全球 1,200 名開發(fā)者進行了調查，以了解安全編碼實踐方面的技能、認知和行為，以及它們在軟件開發(fā)生命周期 (SDLC) 中的影響和感知相關性。

調查發(fā)現，對于什么是安全代碼缺乏明確的定義或理解。而事實證明，開發(fā)者認為的安全代碼與實際的安全代碼之間存在很大差異。

編寫高質量的代碼是開發(fā)社區(qū)的首要任務，這并不奇怪。但當被問及安全代碼時，只有 29% 的人表示優(yōu)先考慮編寫沒有漏洞的代碼。相反，開發(fā)者將不太安全和不太可靠的做法與開發(fā)安全代碼聯系起來。例如，審查現有代碼 (37%) 和依賴外部源代碼庫獲取安全代碼 (37%) 是開發(fā)者與安全編碼相關聯的首要選擇。重用已經被認為是安全的代碼 (32%) 是另一個受歡迎的選擇。編寫無漏洞的代碼排在第 6 位，而只有 29% 的人表示這是創(chuàng)建安全代碼的最佳方式。

缺乏時間和缺乏統(tǒng)一的管理方法被認為是創(chuàng)建安全代碼的最大障礙。對現有代碼的依賴是增加軟件附帶可利用漏洞的風險因素之一。解決構成安全代碼的這種脫節(jié)問題對于開發(fā)者創(chuàng)建同樣安全的高質量代碼是必要的。

企業(yè)能做些什么來解決這個問題？

調查中最重要的信息之一是，開發(fā)者社區(qū)里都是在意自己所做工作的專業(yè)人士。作為一個團隊，編寫高質量的代碼對于他們來說非常重要。問題在于，許多情況下他們工作的企業(yè)沒有找到開發(fā)安全代碼所需的最佳方法，也沒有投入足夠的資源進行培訓或使他們的開發(fā)者能夠實現這些目標。

事實上，大多數開發(fā)者表示，他們的企業(yè)甚至沒有明確定義什么是安全代碼。而最令人擔憂的例子之一是，28% 的受訪者表示，一旦應用或程序部署到生產環(huán)境中或向公眾開放，如果沒有出現漏洞，他們的企業(yè)則認為代碼是安全的。

這可能不言而喻，但在當今復雜的威脅環(huán)境中，僅僅希望獲得好的結果而不實際努力，可能會發(fā)生意料之中的后果：出現更多的安全漏洞。

值得慶幸的是，在這種情況下，至少開始解決問題然后朝著安全代碼的目標努力是相對容易的。第一步也可以說是最重要的一步，是企業(yè)定義他們認為安全的代碼。超出該定義的所有內容都將被視為不安全。

安全編碼應該被定義為熟練的開發(fā)者從 SDLC 開始編寫沒有漏洞的代碼的實踐。只有定義了這種做法，開發(fā)者社區(qū)才能朝著這個目標努力。

實現安全代碼的目標

一旦確定了安全代碼的定義，企業(yè)就應準備好支持這些工作以及以實現安全代碼為目標的開發(fā)者。這種支持至關重要。如果沒有它，企業(yè)內部安全代碼的定義雖然很重要，但也不過是一只紙老虎。安全編碼實踐必須得到管理層的認可，并給予適當的考慮、授權和預算才能成功。

這可能需要為開發(fā)者制定新的基準測試目標，傳統(tǒng)上他們是根據編碼速度來衡量的。事實上，調查中有37% 的開發(fā)者表示，他們的代碼中會留下已知漏洞，因為緊迫的期限導致沒有時間修復它們或者從一開始就正確地編碼。

首先，這可能意味著需要增加最后期限讓開發(fā)者有更多的時間正確編碼，在編碼過程中的時間支出會在后期彌補回來，因為對程序修訂、補丁和部署后的需求會相對減少。而且，消除一個可能存在的漏洞可以節(jié)省數百小時甚至數百萬的收入損失、罰款以及處理成本。

開發(fā)者還需要相關的實踐培訓，尤其是與他們可能遇到的特定漏洞相關的培訓，并幫助他們學習如何識別和修復代碼漏洞。鑒于 36% 的受訪者表示他們希望從代碼中刪除漏洞，但沒有相應的技能或知識，這一點尤其正確。