定义安全代码
创建推动数字业务的软件、应用和程序的开发人员已经成为许多组织的生命线。如果没有有竞争力的应用程序和程序,或者没有24小时访问他们的网站和其他基础设施,大多数现代企业将无法(盈利地)运作。
然而,这些接触点往往也是黑客和其他邪恶用户用来窃取信息、发动攻击和跳转到其他犯罪活动(如欺诈和勒索软件)的门户。最新的Verizon数据泄露调查报告强调,今天针对企业和组织的威胁比历史上任何时候都更加危险和昂贵。
成功的攻击仍然普遍存在,尽管大多数组织在网络安全方面的支出大大增加,尽管像DevSecOps这样的运动正在将安全转移到那些作为当今商业命脉的开发者身上。
开发人员了解安全的重要性,绝大多数人都希望部署安全和高质量的代码,但软件漏洞仍然被利用。
为什么?
第二年,Secure Code Warrior ,2022年12月与埃文斯数据公司合作进行了《开发者驱动的安全状况》调查。我们在全球范围内调查了1200名开发人员,以了解他们在安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期(SDLC)中的影响和感知的相关性。
调查发现,对于什么是安全代码,没有一个明确的定义或理解。事实证明,在开发者认为的安全代码和实际的安全代码之间存在着巨大的差异。
编写高质量的代码是开发社区的首要任务,这并不奇怪。但当被问及具体的安全代码时,只有29%的人说,积极编写没有漏洞的代码的做法是优先考虑的。相反,开发人员将不太安全和不太可靠的做法与安全代码的创建联系起来。例如,仔细检查现有的代码(37%)和依靠外部来源的库来获得安全的代码(37%)是开发人员与安全编码相关的首要做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第六位,29%的人说这是创建安全代码的首要做法。当被进一步询问时,缺乏时间和缺乏来自管理层的一致的方法被认为是创建安全代码的首要障碍。
对现有代码的依赖是增加软件被运出时存在可利用漏洞的风险的因素之一。解决这种关于什么是安全代码的脱节问题,对于开发人员创建高质量的代码是必要的,同时也是安全的。
事实证明,在开发者认为是安全的代码和实际是安全的代码之间存在着很大的差异。
各组织可以做什么来解决这个问题?
调查中最重要的信息之一是,开发者社区作为一个整体充满了专业的人,他们关心自己的工作。编写高质量的代码对他们这个群体来说是压倒性的重要。问题是,在许多情况下,他们工作的组织并没有确定产生安全代码所需的最佳实践,也没有投入足够的资源来培训或使他们的开发人员达到这些目标。
事实上,大多数开发人员表示,他们的组织甚至没有明确定义什么是安全代码。其中一个最令人担忧的例子是,28%的调查对象说,他们的组织认为,如果应用程序或程序被部署到生产环境中或向公众开放后,没有任何违规报告,那么代码就是安全的。
这可能不言而喻,但在当今复杂的威胁环境中,仅仅希望有好的结果,而不真正为之努力,可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少可以比较容易地开始解决这个问题,然后开始努力实现安全代码的目标。第一步,也可以说是最重要的一步,就是组织要定义他们认为是安全的代码。而在这个定义之外的一切都需要被视为不安全。
安全编码应该被定义为熟练的开发人员从SDLC的开始就编写没有漏洞的代码的做法。只有当这种做法被定义后,开发者社区才能朝着这个目标努力。
使安全代码的目标成为现实
一旦确定了安全代码的定义,组织就需要准备好支持这些努力和他们的开发人员,他们将执行全面安全代码实践的目标。这种支持是至关重要的。没有它,在你的组织内安全代码的定义,虽然很重要,但也只是纸老虎而已。安全编码实践必须得到管理层的认可,并给予适当的考虑、授权和预算,以便取得成功。
这可能需要为开发人员制定新的基准目标,因为传统上他们是以编码速度来衡量的。事实上,在调查中,37%的开发人员报告说在他们的代码中留下了已知的漏洞,因为紧迫的最后期限不允许有必要的时间来修复它们,或者从一开始就正确编码。起初,这可能意味着增加最后期限,给开发人员更多的时间来正确编码,尽管在编码过程开始时的时间支出可能会在以后得到弥补,因为对程序修订、补丁和部署后工作的需求减少。而消除一次部署的漏洞的可能性,最终可以节省数百个小时和可能的数百万的收入损失、罚款和清理费用。
开发人员还需要相关的实践培训,特别是与他们可能遇到的特定漏洞有关的培训,并帮助学习如何识别和修复代码漏洞。特别是考虑到36%的调查对象说他们想从他们的代码中消除漏洞,但没有技能或知识来这样做。
调查中37%的开发者报告说,他们的代码中留下了已知的漏洞,因为紧迫的期限不允许有必要的时间来修复这些漏洞,或者从一开始就正确编码。
对这一主题的更多内容感兴趣吗?
白皮书。 改善软件安全的挑战(和机遇)。
报告。 开发者驱动的安全状况调查,2022年。
创建推动数字业务的软件、应用和程序的开发人员已经成为许多组织的生命线。如果没有有竞争力的应用程序和程序,或者没有24小时访问他们的网站和其他基础设施,大多数现代企业将无法(盈利地)运作。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
创建推动数字业务的软件、应用和程序的开发人员已经成为许多组织的生命线。如果没有有竞争力的应用程序和程序,或者没有24小时访问他们的网站和其他基础设施,大多数现代企业将无法(盈利地)运作。
然而,这些接触点往往也是黑客和其他邪恶用户用来窃取信息、发动攻击和跳转到其他犯罪活动(如欺诈和勒索软件)的门户。最新的Verizon数据泄露调查报告强调,今天针对企业和组织的威胁比历史上任何时候都更加危险和昂贵。
成功的攻击仍然普遍存在,尽管大多数组织在网络安全方面的支出大大增加,尽管像DevSecOps这样的运动正在将安全转移到那些作为当今商业命脉的开发者身上。
开发人员了解安全的重要性,绝大多数人都希望部署安全和高质量的代码,但软件漏洞仍然被利用。
为什么?
第二年,Secure Code Warrior ,2022年12月与埃文斯数据公司合作进行了《开发者驱动的安全状况》调查。我们在全球范围内调查了1200名开发人员,以了解他们在安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期(SDLC)中的影响和感知的相关性。
调查发现,对于什么是安全代码,没有一个明确的定义或理解。事实证明,在开发者认为的安全代码和实际的安全代码之间存在着巨大的差异。
编写高质量的代码是开发社区的首要任务,这并不奇怪。但当被问及具体的安全代码时,只有29%的人说,积极编写没有漏洞的代码的做法是优先考虑的。相反,开发人员将不太安全和不太可靠的做法与安全代码的创建联系起来。例如,仔细检查现有的代码(37%)和依靠外部来源的库来获得安全的代码(37%)是开发人员与安全编码相关的首要做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第六位,29%的人说这是创建安全代码的首要做法。当被进一步询问时,缺乏时间和缺乏来自管理层的一致的方法被认为是创建安全代码的首要障碍。
对现有代码的依赖是增加软件被运出时存在可利用漏洞的风险的因素之一。解决这种关于什么是安全代码的脱节问题,对于开发人员创建高质量的代码是必要的,同时也是安全的。
事实证明,在开发者认为是安全的代码和实际是安全的代码之间存在着很大的差异。
各组织可以做什么来解决这个问题?
调查中最重要的信息之一是,开发者社区作为一个整体充满了专业的人,他们关心自己的工作。编写高质量的代码对他们这个群体来说是压倒性的重要。问题是,在许多情况下,他们工作的组织并没有确定产生安全代码所需的最佳实践,也没有投入足够的资源来培训或使他们的开发人员达到这些目标。
事实上,大多数开发人员表示,他们的组织甚至没有明确定义什么是安全代码。其中一个最令人担忧的例子是,28%的调查对象说,他们的组织认为,如果应用程序或程序被部署到生产环境中或向公众开放后,没有任何违规报告,那么代码就是安全的。
这可能不言而喻,但在当今复杂的威胁环境中,仅仅希望有好的结果,而不真正为之努力,可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少可以比较容易地开始解决这个问题,然后开始努力实现安全代码的目标。第一步,也可以说是最重要的一步,就是组织要定义他们认为是安全的代码。而在这个定义之外的一切都需要被视为不安全。
安全编码应该被定义为熟练的开发人员从SDLC的开始就编写没有漏洞的代码的做法。只有当这种做法被定义后,开发者社区才能朝着这个目标努力。
使安全代码的目标成为现实
一旦确定了安全代码的定义,组织就需要准备好支持这些努力和他们的开发人员,他们将执行全面安全代码实践的目标。这种支持是至关重要的。没有它,在你的组织内安全代码的定义,虽然很重要,但也只是纸老虎而已。安全编码实践必须得到管理层的认可,并给予适当的考虑、授权和预算,以便取得成功。
这可能需要为开发人员制定新的基准目标,因为传统上他们是以编码速度来衡量的。事实上,在调查中,37%的开发人员报告说在他们的代码中留下了已知的漏洞,因为紧迫的最后期限不允许有必要的时间来修复它们,或者从一开始就正确编码。起初,这可能意味着增加最后期限,给开发人员更多的时间来正确编码,尽管在编码过程开始时的时间支出可能会在以后得到弥补,因为对程序修订、补丁和部署后工作的需求减少。而消除一次部署的漏洞的可能性,最终可以节省数百个小时和可能的数百万的收入损失、罚款和清理费用。
开发人员还需要相关的实践培训,特别是与他们可能遇到的特定漏洞有关的培训,并帮助学习如何识别和修复代码漏洞。特别是考虑到36%的调查对象说他们想从他们的代码中消除漏洞,但没有技能或知识来这样做。
调查中37%的开发者报告说,他们的代码中留下了已知的漏洞,因为紧迫的期限不允许有必要的时间来修复这些漏洞,或者从一开始就正确编码。
对这一主题的更多内容感兴趣吗?
白皮书。 改善软件安全的挑战(和机遇)。
报告。 开发者驱动的安全状况调查,2022年。
创建推动数字业务的软件、应用和程序的开发人员已经成为许多组织的生命线。如果没有有竞争力的应用程序和程序,或者没有24小时访问他们的网站和其他基础设施,大多数现代企业将无法(盈利地)运作。
然而,这些接触点往往也是黑客和其他邪恶用户用来窃取信息、发动攻击和跳转到其他犯罪活动(如欺诈和勒索软件)的门户。最新的Verizon数据泄露调查报告强调,今天针对企业和组织的威胁比历史上任何时候都更加危险和昂贵。
成功的攻击仍然普遍存在,尽管大多数组织在网络安全方面的支出大大增加,尽管像DevSecOps这样的运动正在将安全转移到那些作为当今商业命脉的开发者身上。
开发人员了解安全的重要性,绝大多数人都希望部署安全和高质量的代码,但软件漏洞仍然被利用。
为什么?
第二年,Secure Code Warrior ,2022年12月与埃文斯数据公司合作进行了《开发者驱动的安全状况》调查。我们在全球范围内调查了1200名开发人员,以了解他们在安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期(SDLC)中的影响和感知的相关性。
调查发现,对于什么是安全代码,没有一个明确的定义或理解。事实证明,在开发者认为的安全代码和实际的安全代码之间存在着巨大的差异。
编写高质量的代码是开发社区的首要任务,这并不奇怪。但当被问及具体的安全代码时,只有29%的人说,积极编写没有漏洞的代码的做法是优先考虑的。相反,开发人员将不太安全和不太可靠的做法与安全代码的创建联系起来。例如,仔细检查现有的代码(37%)和依靠外部来源的库来获得安全的代码(37%)是开发人员与安全编码相关的首要做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第六位,29%的人说这是创建安全代码的首要做法。当被进一步询问时,缺乏时间和缺乏来自管理层的一致的方法被认为是创建安全代码的首要障碍。
对现有代码的依赖是增加软件被运出时存在可利用漏洞的风险的因素之一。解决这种关于什么是安全代码的脱节问题,对于开发人员创建高质量的代码是必要的,同时也是安全的。
事实证明,在开发者认为是安全的代码和实际是安全的代码之间存在着很大的差异。
各组织可以做什么来解决这个问题?
调查中最重要的信息之一是,开发者社区作为一个整体充满了专业的人,他们关心自己的工作。编写高质量的代码对他们这个群体来说是压倒性的重要。问题是,在许多情况下,他们工作的组织并没有确定产生安全代码所需的最佳实践,也没有投入足够的资源来培训或使他们的开发人员达到这些目标。
事实上,大多数开发人员表示,他们的组织甚至没有明确定义什么是安全代码。其中一个最令人担忧的例子是,28%的调查对象说,他们的组织认为,如果应用程序或程序被部署到生产环境中或向公众开放后,没有任何违规报告,那么代码就是安全的。
这可能不言而喻,但在当今复杂的威胁环境中,仅仅希望有好的结果,而不真正为之努力,可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少可以比较容易地开始解决这个问题,然后开始努力实现安全代码的目标。第一步,也可以说是最重要的一步,就是组织要定义他们认为是安全的代码。而在这个定义之外的一切都需要被视为不安全。
安全编码应该被定义为熟练的开发人员从SDLC的开始就编写没有漏洞的代码的做法。只有当这种做法被定义后,开发者社区才能朝着这个目标努力。
使安全代码的目标成为现实
一旦确定了安全代码的定义,组织就需要准备好支持这些努力和他们的开发人员,他们将执行全面安全代码实践的目标。这种支持是至关重要的。没有它,在你的组织内安全代码的定义,虽然很重要,但也只是纸老虎而已。安全编码实践必须得到管理层的认可,并给予适当的考虑、授权和预算,以便取得成功。
这可能需要为开发人员制定新的基准目标,因为传统上他们是以编码速度来衡量的。事实上,在调查中,37%的开发人员报告说在他们的代码中留下了已知的漏洞,因为紧迫的最后期限不允许有必要的时间来修复它们,或者从一开始就正确编码。起初,这可能意味着增加最后期限,给开发人员更多的时间来正确编码,尽管在编码过程开始时的时间支出可能会在以后得到弥补,因为对程序修订、补丁和部署后工作的需求减少。而消除一次部署的漏洞的可能性,最终可以节省数百个小时和可能的数百万的收入损失、罚款和清理费用。
开发人员还需要相关的实践培训,特别是与他们可能遇到的特定漏洞有关的培训,并帮助学习如何识别和修复代码漏洞。特别是考虑到36%的调查对象说他们想从他们的代码中消除漏洞,但没有技能或知识来这样做。
调查中37%的开发者报告说,他们的代码中留下了已知的漏洞,因为紧迫的期限不允许有必要的时间来修复这些漏洞,或者从一开始就正确编码。
对这一主题的更多内容感兴趣吗?
白皮书。 改善软件安全的挑战(和机遇)。
报告。 开发者驱动的安全状况调查,2022年。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
创建推动数字业务的软件、应用和程序的开发人员已经成为许多组织的生命线。如果没有有竞争力的应用程序和程序,或者没有24小时访问他们的网站和其他基础设施,大多数现代企业将无法(盈利地)运作。
然而,这些接触点往往也是黑客和其他邪恶用户用来窃取信息、发动攻击和跳转到其他犯罪活动(如欺诈和勒索软件)的门户。最新的Verizon数据泄露调查报告强调,今天针对企业和组织的威胁比历史上任何时候都更加危险和昂贵。
成功的攻击仍然普遍存在,尽管大多数组织在网络安全方面的支出大大增加,尽管像DevSecOps这样的运动正在将安全转移到那些作为当今商业命脉的开发者身上。
开发人员了解安全的重要性,绝大多数人都希望部署安全和高质量的代码,但软件漏洞仍然被利用。
为什么?
第二年,Secure Code Warrior ,2022年12月与埃文斯数据公司合作进行了《开发者驱动的安全状况》调查。我们在全球范围内调查了1200名开发人员,以了解他们在安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期(SDLC)中的影响和感知的相关性。
调查发现,对于什么是安全代码,没有一个明确的定义或理解。事实证明,在开发者认为的安全代码和实际的安全代码之间存在着巨大的差异。
编写高质量的代码是开发社区的首要任务,这并不奇怪。但当被问及具体的安全代码时,只有29%的人说,积极编写没有漏洞的代码的做法是优先考虑的。相反,开发人员将不太安全和不太可靠的做法与安全代码的创建联系起来。例如,仔细检查现有的代码(37%)和依靠外部来源的库来获得安全的代码(37%)是开发人员与安全编码相关的首要做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第六位,29%的人说这是创建安全代码的首要做法。当被进一步询问时,缺乏时间和缺乏来自管理层的一致的方法被认为是创建安全代码的首要障碍。
对现有代码的依赖是增加软件被运出时存在可利用漏洞的风险的因素之一。解决这种关于什么是安全代码的脱节问题,对于开发人员创建高质量的代码是必要的,同时也是安全的。
事实证明,在开发者认为是安全的代码和实际是安全的代码之间存在着很大的差异。
各组织可以做什么来解决这个问题?
调查中最重要的信息之一是,开发者社区作为一个整体充满了专业的人,他们关心自己的工作。编写高质量的代码对他们这个群体来说是压倒性的重要。问题是,在许多情况下,他们工作的组织并没有确定产生安全代码所需的最佳实践,也没有投入足够的资源来培训或使他们的开发人员达到这些目标。
事实上,大多数开发人员表示,他们的组织甚至没有明确定义什么是安全代码。其中一个最令人担忧的例子是,28%的调查对象说,他们的组织认为,如果应用程序或程序被部署到生产环境中或向公众开放后,没有任何违规报告,那么代码就是安全的。
这可能不言而喻,但在当今复杂的威胁环境中,仅仅希望有好的结果,而不真正为之努力,可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少可以比较容易地开始解决这个问题,然后开始努力实现安全代码的目标。第一步,也可以说是最重要的一步,就是组织要定义他们认为是安全的代码。而在这个定义之外的一切都需要被视为不安全。
安全编码应该被定义为熟练的开发人员从SDLC的开始就编写没有漏洞的代码的做法。只有当这种做法被定义后,开发者社区才能朝着这个目标努力。
使安全代码的目标成为现实
一旦确定了安全代码的定义,组织就需要准备好支持这些努力和他们的开发人员,他们将执行全面安全代码实践的目标。这种支持是至关重要的。没有它,在你的组织内安全代码的定义,虽然很重要,但也只是纸老虎而已。安全编码实践必须得到管理层的认可,并给予适当的考虑、授权和预算,以便取得成功。
这可能需要为开发人员制定新的基准目标,因为传统上他们是以编码速度来衡量的。事实上,在调查中,37%的开发人员报告说在他们的代码中留下了已知的漏洞,因为紧迫的最后期限不允许有必要的时间来修复它们,或者从一开始就正确编码。起初,这可能意味着增加最后期限,给开发人员更多的时间来正确编码,尽管在编码过程开始时的时间支出可能会在以后得到弥补,因为对程序修订、补丁和部署后工作的需求减少。而消除一次部署的漏洞的可能性,最终可以节省数百个小时和可能的数百万的收入损失、罚款和清理费用。
开发人员还需要相关的实践培训,特别是与他们可能遇到的特定漏洞有关的培训,并帮助学习如何识别和修复代码漏洞。特别是考虑到36%的调查对象说他们想从他们的代码中消除漏洞,但没有技能或知识来这样做。
调查中37%的开发者报告说,他们的代码中留下了已知的漏洞,因为紧迫的期限不允许有必要的时间来修复这些漏洞,或者从一开始就正确编码。
对这一主题的更多内容感兴趣吗?
白皮书。 改善软件安全的挑战(和机遇)。
报告。 开发者驱动的安全状况调查,2022年。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
