用开发者驱动的安全来减轻技术债务

2023年2月15日出版
作者:Taylor Broadfoot
案例研究

用开发者驱动的安全来减轻技术债务

2023年2月15日出版
作者:Taylor Broadfoot
查看资源
查看资源
黑色和红色的抽象图像,上面有 "用开发者驱动的安全减轻技术债务 "的文字。
黑色和红色的抽象图像,上面有 "用开发者驱动的安全减轻技术债务 "的文字。

我们来谈谈债务问题 

现在大多数人都知道,网络犯罪已经成为我们全球经济面临的一个主要问题。截至2022年,美国数据泄露的平均成本达到944万美元,比前一年的905万美元有所增加。重要的是,不要忽视不安全的代码及其积累的技术债务的成本。根据2022年信息和软件质量联合会的报告。软件质量差的成本报告,据估计,美国软件质量差的成本已经增长到2.41万亿美元,累积的软件技术债务已经增长到1.52万亿美元。 

处理不安全的代码及其技术债务的成本激增,已经成为对现有代码库进行任何修改的最大障碍--从而使它们容易受到利用和外部威胁。软件安全状况正面临着生存危机--我们知道我们必须改善我们的安全态势以及解决累积的技术债务,但障碍是巨大的。 

  • 在美国,估计有30万个未填补的软件开发人员和IT相关的工作,预计增长率为15%。 
  • 据预测,到2025年,40%的IT预算将仅仅用于维护技术债务。
  • 开发人员每周平均有1/3的时间用于解决技术债务问题

快速修复是有风险的--长期来看成本更高 

什么是技术债务,为什么它如此重要?当决策者对软件开发问题采取短期解决方案,而不是采取更详尽的长期解决方案时,技术债务就会累积。这带来了大量的隐性成本,企业必须在以后支付。就像一张被刷爆的信用卡,技术债务有两个主要组成部分。

  • 本金-- 指的是重构或修复软件,使其达到理想的可维护性和安全性水平的总成本。
  • 利息 - 开发人员为解决技术债务而花费的额外精力,而不是新功能。花在不完全正确的代码上的每一分钟都会增加债务的利息。
技术债务的影响如何随时间增长

当新功能、错误修复和维护的成本超过项目预算时,人们最终会达到 "技术破产 "的状态--软件应用的价值大大降低。 

然而,一些债务的积累,就像生活中一样,是正常的,而且在大多数情况下,有点预期。 

理想情况下,所有的软件开发人员都应该在发送代码之前尽可能地减少bug。然而,他们面临着一个艰难的权衡:为了提高竞争力,一个组织可能希望以最低的成本快速向客户交付功能或产品。结果,应用程序的质量受到影响,因为开发人员的关键绩效指标是基于交付的速度,以及建立它的初始成本。图片中缺少的是代码中积累的缺陷和潜在的漏洞。这使得它在下一步出现错误或安全漏洞,或者更糟糕的是,被坏人利用。 

但问题就在这里:是否有一种不同的方式可以在不积累大量技术债务的情况下快速出货? 

发现和修复缺陷和漏洞的成本是软件开发生命周期中最大的一笔开支。在开发生命周期中越早发现问题,整个交付的成本效益就越高。 

技术债务可以演变成安全债务

许多开发者试图通过使用开放源代码来规避这种权衡,以帮助他们快速行动,最好是使用已经审核过的解决方案。然而,严重依赖开放源码软件往往会带来自己的风险。 

  • 82%的开源组件被发现是过时的(即没有补丁或没有很好的支持)。 
  • 75%的代码库含有漏洞(高于2018年的60%),49%的代码库含有高危漏洞 
  • 每个代码库平均发现82个漏洞 

这就扩散了技术债务的一个子集--安全债务。安全债务是指软件应用程序中漏洞的积累,使得保护数据和系统免受攻击变得更加困难甚至不可能。

最臭名昭著的例子之一是Equifax,这家信用报告巨头在2017年被入侵 ,因为它没有修补Apache Struts的一个已知漏洞,这是一个流行的开源网络应用框架。这个补丁已经存在了几个月,但这次漏洞泄露了超过1.47亿人的重要个人数据。

因此,必须更加重视安全编码实践,因为许多应用程序不仅在技术上达到了临界点,而且在应用程序本身的安全弱点和漏洞密度上也达到了临界点。

这可能导致巨大的损失,这些损失可能是有形的,也可能是无形的。 

声誉的损害。 客户信任的丧失会在接下来产生极其负面的影响。这可能包括对品牌的损害,销售的损失,以及因漏洞而产生的昂贵的法律问题。 

监管和合规影响。 如果一个安全漏洞会导致公司错过最后期限和/或合同义务。未能满足服务水平协议可能会使公司陷入监管机构的麻烦,导致大量罚款。 

补救费用。 在发生故障或停工后,往往需要额外的工作来弥补生产力的损失。

在SDLC中防止技术和安全债务

许多组织已经在转移他们的预算,以创建一个更强大的安全态势。去年, 谷歌承诺在5年内投入100亿美元,资助一项加强网络安全的计划。 拜登政府还要求在2022年的全权预算中为网络安全和基础设施安全局(CISA)提供21亿美元。 

提供更多的资源和培训来帮助加强你的开发人员的专业成长和知识,可以成为为所有运往生产的代码建立质量标准的第一步。 

在软件开发周期的后期,发现和修复漏洞或缺陷的成本会成倍增长。正如我们所看到的,由于在处理技术和安全债务上花费了大量的时间,企业正在通过放弃创新和花费在新功能或产品上的时间来创造自己的损失。 

在2022年,大多数开发人员团队说DevOps或DevSecOps是他们的首选方法,这并不奇怪。DevSecOps在软件开发生命周期的每个阶段都整合了安全,以提供更好、更安全的应用程序。安全和开发团队继续在孤军奋战,关系紧张,但很明显,这需要改变,以帮助企业取得成功。DevOps是企业试图打破障碍和重塑文化的一部分。DevSecOps的基本目标是,从软件开发生命周期的一开始就加强AppSec/安全与开发人员之间的合作。

资料来源:信息和软件质量联合会。信息和软件质量联合会。美国2022年软件质量不佳的成本报告 

实施解决技术债务和安全问题的新思维方式不一定是一个巨大的壮举。当试图提高组织的开发人员社区的安全意识和技能时,通过培训建立一个积极主动的心态是至关重要的。为开发人员提供强大的安全编码教育,确保学习是持续的、互动的、相关的和有背景的,这是必要的。真正的整体方法必须考虑培养真正的开发者主导的安全文化需要什么。这可能需要改变管理和建立开发人员团队的典型方式的重点。

创造一种文化变革并不容易,但Secure Code Warrior ,帮助你确定你的安全冠军,并帮助开发人员和组织掌握正确的技能,以应对当今不断变化的安全挑战。 

启动一个有吸引力和可扩展的安全代码计划是一个值得投资的项目,因为对安全的长期预防方式,而不是过去的被动方式。这最终有助于减轻漏洞的昂贵风险,教育开发人员如何快速发现和修复漏洞,并促进以更敏捷的方式专注于产品开发和加快上市时间。

查看资源
查看资源

有兴趣了解更多吗?

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
作者

Taylor Broadfoot

Taylor Broadfoot-Nymark 是Secure Code Warrior 的产品营销经理。她撰写了多篇关于网络安全和敏捷学习的文章,还负责产品发布、GTM 战略和客户宣传。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

用开发者驱动的安全来减轻技术债务

发布于 2024 年 1 月 22 日
作者:Taylor Broadfoot

我们来谈谈债务问题 

现在大多数人都知道,网络犯罪已经成为我们全球经济面临的一个主要问题。截至2022年,美国数据泄露的平均成本达到944万美元,比前一年的905万美元有所增加。重要的是,不要忽视不安全的代码及其积累的技术债务的成本。根据2022年信息和软件质量联合会的报告。软件质量差的成本报告,据估计,美国软件质量差的成本已经增长到2.41万亿美元,累积的软件技术债务已经增长到1.52万亿美元。 

处理不安全的代码及其技术债务的成本激增,已经成为对现有代码库进行任何修改的最大障碍--从而使它们容易受到利用和外部威胁。软件安全状况正面临着生存危机--我们知道我们必须改善我们的安全态势以及解决累积的技术债务,但障碍是巨大的。 

  • 在美国,估计有30万个未填补的软件开发人员和IT相关的工作,预计增长率为15%。 
  • 据预测,到2025年,40%的IT预算将仅仅用于维护技术债务。
  • 开发人员每周平均有1/3的时间用于解决技术债务问题

快速修复是有风险的--长期来看成本更高 

什么是技术债务,为什么它如此重要?当决策者对软件开发问题采取短期解决方案,而不是采取更详尽的长期解决方案时,技术债务就会累积。这带来了大量的隐性成本,企业必须在以后支付。就像一张被刷爆的信用卡,技术债务有两个主要组成部分。

  • 本金-- 指的是重构或修复软件,使其达到理想的可维护性和安全性水平的总成本。
  • 利息 - 开发人员为解决技术债务而花费的额外精力,而不是新功能。花在不完全正确的代码上的每一分钟都会增加债务的利息。
技术债务的影响如何随时间增长

当新功能、错误修复和维护的成本超过项目预算时,人们最终会达到 "技术破产 "的状态--软件应用的价值大大降低。 

然而,一些债务的积累,就像生活中一样,是正常的,而且在大多数情况下,有点预期。 

理想情况下,所有的软件开发人员都应该在发送代码之前尽可能地减少bug。然而,他们面临着一个艰难的权衡:为了提高竞争力,一个组织可能希望以最低的成本快速向客户交付功能或产品。结果,应用程序的质量受到影响,因为开发人员的关键绩效指标是基于交付的速度,以及建立它的初始成本。图片中缺少的是代码中积累的缺陷和潜在的漏洞。这使得它在下一步出现错误或安全漏洞,或者更糟糕的是,被坏人利用。 

但问题就在这里:是否有一种不同的方式可以在不积累大量技术债务的情况下快速出货? 

发现和修复缺陷和漏洞的成本是软件开发生命周期中最大的一笔开支。在开发生命周期中越早发现问题,整个交付的成本效益就越高。 

技术债务可以演变成安全债务

许多开发者试图通过使用开放源代码来规避这种权衡,以帮助他们快速行动,最好是使用已经审核过的解决方案。然而,严重依赖开放源码软件往往会带来自己的风险。 

  • 82%的开源组件被发现是过时的(即没有补丁或没有很好的支持)。 
  • 75%的代码库含有漏洞(高于2018年的60%),49%的代码库含有高危漏洞 
  • 每个代码库平均发现82个漏洞 

这就扩散了技术债务的一个子集--安全债务。安全债务是指软件应用程序中漏洞的积累,使得保护数据和系统免受攻击变得更加困难甚至不可能。

最臭名昭著的例子之一是Equifax,这家信用报告巨头在2017年被入侵 ,因为它没有修补Apache Struts的一个已知漏洞,这是一个流行的开源网络应用框架。这个补丁已经存在了几个月,但这次漏洞泄露了超过1.47亿人的重要个人数据。

因此,必须更加重视安全编码实践,因为许多应用程序不仅在技术上达到了临界点,而且在应用程序本身的安全弱点和漏洞密度上也达到了临界点。

这可能导致巨大的损失,这些损失可能是有形的,也可能是无形的。 

声誉的损害。 客户信任的丧失会在接下来产生极其负面的影响。这可能包括对品牌的损害,销售的损失,以及因漏洞而产生的昂贵的法律问题。 

监管和合规影响。 如果一个安全漏洞会导致公司错过最后期限和/或合同义务。未能满足服务水平协议可能会使公司陷入监管机构的麻烦,导致大量罚款。 

补救费用。 在发生故障或停工后,往往需要额外的工作来弥补生产力的损失。

在SDLC中防止技术和安全债务

许多组织已经在转移他们的预算,以创建一个更强大的安全态势。去年, 谷歌承诺在5年内投入100亿美元,资助一项加强网络安全的计划。 拜登政府还要求在2022年的全权预算中为网络安全和基础设施安全局(CISA)提供21亿美元。 

提供更多的资源和培训来帮助加强你的开发人员的专业成长和知识,可以成为为所有运往生产的代码建立质量标准的第一步。 

在软件开发周期的后期,发现和修复漏洞或缺陷的成本会成倍增长。正如我们所看到的,由于在处理技术和安全债务上花费了大量的时间,企业正在通过放弃创新和花费在新功能或产品上的时间来创造自己的损失。 

在2022年,大多数开发人员团队说DevOps或DevSecOps是他们的首选方法,这并不奇怪。DevSecOps在软件开发生命周期的每个阶段都整合了安全,以提供更好、更安全的应用程序。安全和开发团队继续在孤军奋战,关系紧张,但很明显,这需要改变,以帮助企业取得成功。DevOps是企业试图打破障碍和重塑文化的一部分。DevSecOps的基本目标是,从软件开发生命周期的一开始就加强AppSec/安全与开发人员之间的合作。

资料来源:信息和软件质量联合会。信息和软件质量联合会。美国2022年软件质量不佳的成本报告 

实施解决技术债务和安全问题的新思维方式不一定是一个巨大的壮举。当试图提高组织的开发人员社区的安全意识和技能时,通过培训建立一个积极主动的心态是至关重要的。为开发人员提供强大的安全编码教育,确保学习是持续的、互动的、相关的和有背景的,这是必要的。真正的整体方法必须考虑培养真正的开发者主导的安全文化需要什么。这可能需要改变管理和建立开发人员团队的典型方式的重点。

创造一种文化变革并不容易,但Secure Code Warrior ,帮助你确定你的安全冠军,并帮助开发人员和组织掌握正确的技能,以应对当今不断变化的安全挑战。 

启动一个有吸引力和可扩展的安全代码计划是一个值得投资的项目,因为对安全的长期预防方式,而不是过去的被动方式。这最终有助于减轻漏洞的昂贵风险,教育开发人员如何快速发现和修复漏洞,并促进以更敏捷的方式专注于产品开发和加快上市时间。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。