在我们这个超级连接的世界里,几乎每个组织都有一个共同的致命弱点。 一个单一的漏洞,只要他们的代码中有一个可利用的漏洞,就会引发客户数据被盗、声誉受损和重大经济损失。围绕安全编码的组织协调从未像现在这样重要,但实现它说起来容易,做起来难。 因此,在2020年,Secure Code Warrior 与埃文斯数据公司合作,对开发人员和管理人员对安全编码、安全代码实践和安全操作的态度进行主要研究*。
在这个网络安全至关重要的环境中,项目成功的传统关键绩效指标正在被重新定义--但还不够快。
当我们询问开发人员和管理人员关于软件开发过程中最关键的优先事项时。
- 76%被提名的应用程序性能
- 62%的人挑选了特征和功能
- 而有50%多一点的人选择了安全代码
今天,我们可以看到,安全并不是一个关键的优先事项。
但展望未来,情况发生了巨大的变化。当被问及衡量项目成功最重要的未来优先事项时,79%的开发人员同意安全编码将变得更加重要。事实上,开发人员认为安全是重要性将增加最多的KPI。
但是,即使对安全编码的认识在不断提高,对其采用也有顾虑。对于开发人员和管理人员来说,处理漏洞和对代码负责足以让他们夜不能寐。我们的研究*显示,这两个群体都有相同的基本担忧,这表明需要更好的安全编码实践培训。
围绕安全编码实践的关注点和障碍
开发人员的头号担忧是 "包括复制以前漏洞的代码"。由于开发人员是根据他们的代码质量来判断的,这一点并不令人惊讶。没有哪个开发者愿意成为不安全的代码的来源--或者需要返工并拖累其团队的代码。
开发人员的第二大担忧是处理同事带来的错误。满足截止日期和对代码负责也在名单上名列前茅--学习安全代码是具有挑战性的,这也反映了开发人员对当前培训方法的不满。
另一方面,管理者更多的是采取自上而下的观点。他们最关心的是要对坏的代码或复制以前的漏洞的代码负责。 毕竟,如果他们的团队产生了糟糕的代码,那么责任就由经理来承担。
学习过程具有挑战性这一事实排在第三位--这并不是安全编码实践的唯一障碍。
45%的人认为利益相关者和管理层之间缺乏沟通是一个重要的路障。42%的人感叹新员工缺乏安全编码技能。 同时,40%的人提名培训时间和资源不足。
目前的安全代码培训方法无法提供--管理人员意识到需要一种新的方法。
谁对安全代码的实践负责?
就其本质而言,安全编码的做法意味着在SDLC中更早地考虑安全问题。它意味着从一开始就积极地在软件的编写过程中建立安全,而不是留到以后。换句话说,就是 "左移"。这种 "左移 "是安全编码实践的本质。这意味着,最终,一个组织中的每个人都应该对安全代码负责。但现在,只有15%的开发人员同意。
然而,虽然大多数开发人员仍然认为安全是别人的问题,但一小部分但越来越多的群组不仅积极拥抱安全编码,而且在他们的组织内倡导安全编码。29%的受访开发者同意在他们的工作场所存在这样的能手。问题是这些安全编码的拥护者仍然太少了。
创建更多的安全推行者
开发经理意识到需要识别和创建新的安全冠军,并提高一般开发人员的安全编码技能。
许多经理在招聘新的开发人员时也很重视安全编码技能,并重视已经成为他们团队一部分的开发人员的安全编码经验。
83%的受访经理人说他们要求开发人员学习或采用安全编码实践。大约四分之三的受访经理表示,他们为开发人员提供激励措施,让他们参与安全代码培训。 这些激励措施包括从正式认可到更大的责任到更高的薪酬。
很明显,开发经理是在组织层面上采用安全编码实践的关键影响者--并且有助于发现安全推行者。
但是,当谈到创造更多这样的冠军时,是什么促使开发人员学习安全编码?我们的研究表明,他们把它看作是提高生产力和效率的手段。
那么,为什么开发人员不推动更安全的代码培训呢?是什么阻碍了他们向日益增长的组织需求看齐?
开始解决调整的解决方案
开发人员不想坐在那里听讲师讲课--他们想亲手操作,亲自尝试。他们希望把重点放在实际应用上--这是目前的培训项目所严重缺乏的。当被问及如何改进公司提供的培训时,30%的受访者表示,他们希望培训能注重实际应用,特别是真实的工作场景。
目前的培训实践无法实现这一点。需要一种新的方法--作为变革的推行者,Secure Code Warrior ,采取以人为本的方法,帮助组织重新调整安全编码。我们的网络安全 Courses提供有指导性的学习途径,包括模仿开发人员在现实世界中所面临的动手、"游戏化 "的编码挑战。
这种培训是针对语言:框架的,不同于一般的培训,一般的培训往往是听完就走。
当涉及到重新调整文化时。 Tournaments可以用来衡量编码员的安全技能,为未来的技能发展建立一个基线,并在你的开发团队中发现潜在的安全冠军。
如果你想知道更多关于安全代码培训的信息,使管理人员、开发人员和组织的需求一致,以实现安全编码的未来。 现在预订演示.
*从反应到预防的转变。应用安全的变化。 Secure Code Warrior 和 Evans Data Corp. 2020年