定义安全代码
开发推动数字业务发展的软件、应用程序和程序的开发人员已成为许多组织的命脉。如果没有竞争性的应用程序和程序,或者没有24小时访问其网站和其他基础设施,大多数现代企业都不能(盈利)运作。
但是,这些完全相同的接触点通常也是黑客和其他恶意用户用来窃取信息、发起攻击和跳入欺诈和勒索软件等其他犯罪活动的门户。最新的Verizon数据泄露调查报告强调,当今针对企业和组织的威胁比历史上任何时候都更加危险,代价更高。
尽管大多数组织在网络安全方面的支出都在大幅增加,尽管像 DevSecOps 这样的运动正在将安全性转移到作为当今商业命脉的开发人员身上,但成功的攻击仍然很普遍。
开发人员了解安全的重要性,绝大多数人希望部署安全和高质量的代码,但是软件漏洞仍在继续被利用。
为什么?
2021年12月,Secure Code Warrior连续第二年与埃文斯数据公司合作进行了《2022年开发者驱动的安全状况调查》。我们对全球1,200名开发人员进行了调查,以了解安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期 (SDLC) 中的影响和感知相关性。
调查发现,对安全代码的构成缺乏明确的定义或理解。事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
编写高质量的代码是开发社区的重中之重也就不足为奇了。但是当被问及安全代码的具体问题时,只有 29% 的人表示积极实践编写没有漏洞的代码是优先事项。相反,开发人员将不太安全、远不那么可靠的做法与安全代码的创建联系起来。例如,审查现有代码(37%)和依赖外部库获取安全代码(37%)是开发人员与安全编码相关的最佳做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第6位,有29%的人表示这是创建安全代码的最佳做法。当被进一步质疑时,缺乏时间和管理层缺乏凝聚力的方法被视为创建安全代码的最大障碍。
对现有代码的依赖是增加软件发布时带有可利用漏洞的风险的因素之一。解决安全代码构成要素之间的这种脱节问题对于开发人员创建同样安全的优质代码是必要的。
事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
组织可以做些什么来解决这种情况?
调查中最重要的信息之一是,整个开发者社区中充斥着关心自己工作的专业人士。对于他们这个群体来说,编写高质量的代码极其重要。问题在于,在许多情况下,他们工作的组织尚未确定生成安全代码所需的最佳实践,也没有投入足够的资源来培训或帮助开发人员实现这些目标。
实际上,大多数开发人员表示,他们的组织甚至没有明确定义什么构成安全代码。其中最令人担忧的例子之一是,28% 的受访者表示,如果将应用程序或程序部署到生产环境或向公众提供后没有报告任何漏洞,他们的组织就会认为代码是安全的。
这可能不言而喻,但在当今复杂的威胁格局中,仅仅希望取得良好的结果而不实际努力可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少开始修复问题,然后开始努力实现安全代码的目标相对容易。第一步,可以说是最重要的步骤是组织定义他们认为安全的代码。而且,该定义之外的所有内容都必须被视为不安全。
安全编码应定义为熟练的开发人员从 SDLC 一开始就编写没有漏洞的代码的做法。只有定义了这种做法,开发者社区才能朝着这个目标努力。
将安全代码的目标变为现实
一旦确定了安全代码的定义,各组织就需要做好准备,为这些工作及其开发人员提供支持,他们将实现实施全面安全代码实践的目标。这种支持至关重要。没有它,组织内安全代码的定义虽然重要,但只不过是纸老虎。安全编码做法必须得到管理层的认可,并给予适当的考虑、授权和预算,才能取得成功。
这可能需要为开发人员设定新的基准测试目标,传统上他们是根据编码速度来衡量的。实际上,调查中有37%的开发人员报告说,在代码中留下了已知漏洞,因为紧迫的期限无法留出修复漏洞或从一开始就正确编码所需的时间。首先,这可能意味着延长最后期限,让开发人员有更多时间正确编码,尽管由于对程序修订、补丁和部署后工作的需求减少,编码过程开始时的时间支出可能会在以后弥补。而且,消除部署漏洞的可能性最终可以节省数百小时,并可能节省数百万美元的收入、罚款和清理成本。
开发人员还需要相关的实践培训,尤其是与他们可能遇到的特定漏洞相关的培训,并帮助他们学习如何识别和修复代码漏洞。鉴于36%的受访者表示他们想从代码中删除漏洞,但没有这样做的技能或知识,这一点尤其如此。
调查中有37%的开发人员报告说,他们的代码中留下了已知的漏洞,因为紧迫的截止日期无法留出修复37个漏洞或从一开始就正确编码所需的时间。
对这个话题的更多内容感兴趣吗?
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
开发推动数字业务发展的软件、应用程序和程序的开发人员已成为许多组织的命脉。如果没有竞争性的应用程序和程序,或者没有24小时访问其网站和其他基础设施,大多数现代企业都不能(盈利)运作。
但是,这些完全相同的接触点通常也是黑客和其他恶意用户用来窃取信息、发起攻击和跳入欺诈和勒索软件等其他犯罪活动的门户。最新的Verizon数据泄露调查报告强调,当今针对企业和组织的威胁比历史上任何时候都更加危险,代价更高。
尽管大多数组织在网络安全方面的支出都在大幅增加,尽管像 DevSecOps 这样的运动正在将安全性转移到作为当今商业命脉的开发人员身上,但成功的攻击仍然很普遍。
开发人员了解安全的重要性,绝大多数人希望部署安全和高质量的代码,但是软件漏洞仍在继续被利用。
为什么?
2021年12月,Secure Code Warrior连续第二年与埃文斯数据公司合作进行了《2022年开发者驱动的安全状况调查》。我们对全球1,200名开发人员进行了调查,以了解安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期 (SDLC) 中的影响和感知相关性。
调查发现,对安全代码的构成缺乏明确的定义或理解。事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
编写高质量的代码是开发社区的重中之重也就不足为奇了。但是当被问及安全代码的具体问题时,只有 29% 的人表示积极实践编写没有漏洞的代码是优先事项。相反,开发人员将不太安全、远不那么可靠的做法与安全代码的创建联系起来。例如,审查现有代码(37%)和依赖外部库获取安全代码(37%)是开发人员与安全编码相关的最佳做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第6位,有29%的人表示这是创建安全代码的最佳做法。当被进一步质疑时,缺乏时间和管理层缺乏凝聚力的方法被视为创建安全代码的最大障碍。
对现有代码的依赖是增加软件发布时带有可利用漏洞的风险的因素之一。解决安全代码构成要素之间的这种脱节问题对于开发人员创建同样安全的优质代码是必要的。
事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
组织可以做些什么来解决这种情况?
调查中最重要的信息之一是,整个开发者社区中充斥着关心自己工作的专业人士。对于他们这个群体来说,编写高质量的代码极其重要。问题在于,在许多情况下,他们工作的组织尚未确定生成安全代码所需的最佳实践,也没有投入足够的资源来培训或帮助开发人员实现这些目标。
实际上,大多数开发人员表示,他们的组织甚至没有明确定义什么构成安全代码。其中最令人担忧的例子之一是,28% 的受访者表示,如果将应用程序或程序部署到生产环境或向公众提供后没有报告任何漏洞,他们的组织就会认为代码是安全的。
这可能不言而喻,但在当今复杂的威胁格局中,仅仅希望取得良好的结果而不实际努力可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少开始修复问题,然后开始努力实现安全代码的目标相对容易。第一步,可以说是最重要的步骤是组织定义他们认为安全的代码。而且,该定义之外的所有内容都必须被视为不安全。
安全编码应定义为熟练的开发人员从 SDLC 一开始就编写没有漏洞的代码的做法。只有定义了这种做法,开发者社区才能朝着这个目标努力。
将安全代码的目标变为现实
一旦确定了安全代码的定义,各组织就需要做好准备,为这些工作及其开发人员提供支持,他们将实现实施全面安全代码实践的目标。这种支持至关重要。没有它,组织内安全代码的定义虽然重要,但只不过是纸老虎。安全编码做法必须得到管理层的认可,并给予适当的考虑、授权和预算,才能取得成功。
这可能需要为开发人员设定新的基准测试目标,传统上他们是根据编码速度来衡量的。实际上,调查中有37%的开发人员报告说,在代码中留下了已知漏洞,因为紧迫的期限无法留出修复漏洞或从一开始就正确编码所需的时间。首先,这可能意味着延长最后期限,让开发人员有更多时间正确编码,尽管由于对程序修订、补丁和部署后工作的需求减少,编码过程开始时的时间支出可能会在以后弥补。而且,消除部署漏洞的可能性最终可以节省数百小时,并可能节省数百万美元的收入、罚款和清理成本。
开发人员还需要相关的实践培训,尤其是与他们可能遇到的特定漏洞相关的培训,并帮助他们学习如何识别和修复代码漏洞。鉴于36%的受访者表示他们想从代码中删除漏洞,但没有这样做的技能或知识,这一点尤其如此。
调查中有37%的开发人员报告说,他们的代码中留下了已知的漏洞,因为紧迫的截止日期无法留出修复37个漏洞或从一开始就正确编码所需的时间。
对这个话题的更多内容感兴趣吗?
开发推动数字业务发展的软件、应用程序和程序的开发人员已成为许多组织的命脉。如果没有竞争性的应用程序和程序,或者没有24小时访问其网站和其他基础设施,大多数现代企业都不能(盈利)运作。
但是,这些完全相同的接触点通常也是黑客和其他恶意用户用来窃取信息、发起攻击和跳入欺诈和勒索软件等其他犯罪活动的门户。最新的Verizon数据泄露调查报告强调,当今针对企业和组织的威胁比历史上任何时候都更加危险,代价更高。
尽管大多数组织在网络安全方面的支出都在大幅增加,尽管像 DevSecOps 这样的运动正在将安全性转移到作为当今商业命脉的开发人员身上,但成功的攻击仍然很普遍。
开发人员了解安全的重要性,绝大多数人希望部署安全和高质量的代码,但是软件漏洞仍在继续被利用。
为什么?
2021年12月,Secure Code Warrior连续第二年与埃文斯数据公司合作进行了《2022年开发者驱动的安全状况调查》。我们对全球1,200名开发人员进行了调查,以了解安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期 (SDLC) 中的影响和感知相关性。
调查发现,对安全代码的构成缺乏明确的定义或理解。事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
编写高质量的代码是开发社区的重中之重也就不足为奇了。但是当被问及安全代码的具体问题时,只有 29% 的人表示积极实践编写没有漏洞的代码是优先事项。相反,开发人员将不太安全、远不那么可靠的做法与安全代码的创建联系起来。例如,审查现有代码(37%)和依赖外部库获取安全代码(37%)是开发人员与安全编码相关的最佳做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第6位,有29%的人表示这是创建安全代码的最佳做法。当被进一步质疑时,缺乏时间和管理层缺乏凝聚力的方法被视为创建安全代码的最大障碍。
对现有代码的依赖是增加软件发布时带有可利用漏洞的风险的因素之一。解决安全代码构成要素之间的这种脱节问题对于开发人员创建同样安全的优质代码是必要的。
事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
组织可以做些什么来解决这种情况?
调查中最重要的信息之一是,整个开发者社区中充斥着关心自己工作的专业人士。对于他们这个群体来说,编写高质量的代码极其重要。问题在于,在许多情况下,他们工作的组织尚未确定生成安全代码所需的最佳实践,也没有投入足够的资源来培训或帮助开发人员实现这些目标。
实际上,大多数开发人员表示,他们的组织甚至没有明确定义什么构成安全代码。其中最令人担忧的例子之一是,28% 的受访者表示,如果将应用程序或程序部署到生产环境或向公众提供后没有报告任何漏洞,他们的组织就会认为代码是安全的。
这可能不言而喻,但在当今复杂的威胁格局中,仅仅希望取得良好的结果而不实际努力可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少开始修复问题,然后开始努力实现安全代码的目标相对容易。第一步,可以说是最重要的步骤是组织定义他们认为安全的代码。而且,该定义之外的所有内容都必须被视为不安全。
安全编码应定义为熟练的开发人员从 SDLC 一开始就编写没有漏洞的代码的做法。只有定义了这种做法,开发者社区才能朝着这个目标努力。
将安全代码的目标变为现实
一旦确定了安全代码的定义,各组织就需要做好准备,为这些工作及其开发人员提供支持,他们将实现实施全面安全代码实践的目标。这种支持至关重要。没有它,组织内安全代码的定义虽然重要,但只不过是纸老虎。安全编码做法必须得到管理层的认可,并给予适当的考虑、授权和预算,才能取得成功。
这可能需要为开发人员设定新的基准测试目标,传统上他们是根据编码速度来衡量的。实际上,调查中有37%的开发人员报告说,在代码中留下了已知漏洞,因为紧迫的期限无法留出修复漏洞或从一开始就正确编码所需的时间。首先,这可能意味着延长最后期限,让开发人员有更多时间正确编码,尽管由于对程序修订、补丁和部署后工作的需求减少,编码过程开始时的时间支出可能会在以后弥补。而且,消除部署漏洞的可能性最终可以节省数百小时,并可能节省数百万美元的收入、罚款和清理成本。
开发人员还需要相关的实践培训,尤其是与他们可能遇到的特定漏洞相关的培训,并帮助他们学习如何识别和修复代码漏洞。鉴于36%的受访者表示他们想从代码中删除漏洞,但没有这样做的技能或知识,这一点尤其如此。
调查中有37%的开发人员报告说,他们的代码中留下了已知的漏洞,因为紧迫的截止日期无法留出修复37个漏洞或从一开始就正确编码所需的时间。
对这个话题的更多内容感兴趣吗?
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
开发推动数字业务发展的软件、应用程序和程序的开发人员已成为许多组织的命脉。如果没有竞争性的应用程序和程序,或者没有24小时访问其网站和其他基础设施,大多数现代企业都不能(盈利)运作。
但是,这些完全相同的接触点通常也是黑客和其他恶意用户用来窃取信息、发起攻击和跳入欺诈和勒索软件等其他犯罪活动的门户。最新的Verizon数据泄露调查报告强调,当今针对企业和组织的威胁比历史上任何时候都更加危险,代价更高。
尽管大多数组织在网络安全方面的支出都在大幅增加,尽管像 DevSecOps 这样的运动正在将安全性转移到作为当今商业命脉的开发人员身上,但成功的攻击仍然很普遍。
开发人员了解安全的重要性,绝大多数人希望部署安全和高质量的代码,但是软件漏洞仍在继续被利用。
为什么?
2021年12月,Secure Code Warrior连续第二年与埃文斯数据公司合作进行了《2022年开发者驱动的安全状况调查》。我们对全球1,200名开发人员进行了调查,以了解安全编码实践方面的技能、看法和行为,以及他们在软件开发生命周期 (SDLC) 中的影响和感知相关性。
调查发现,对安全代码的构成缺乏明确的定义或理解。事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
编写高质量的代码是开发社区的重中之重也就不足为奇了。但是当被问及安全代码的具体问题时,只有 29% 的人表示积极实践编写没有漏洞的代码是优先事项。相反,开发人员将不太安全、远不那么可靠的做法与安全代码的创建联系起来。例如,审查现有代码(37%)和依赖外部库获取安全代码(37%)是开发人员与安全编码相关的最佳做法。重复使用已经被认为是安全的代码(32%)是另一个受欢迎的选择。编写没有漏洞的代码的积极做法排在第6位,有29%的人表示这是创建安全代码的最佳做法。当被进一步质疑时,缺乏时间和管理层缺乏凝聚力的方法被视为创建安全代码的最大障碍。
对现有代码的依赖是增加软件发布时带有可利用漏洞的风险的因素之一。解决安全代码构成要素之间的这种脱节问题对于开发人员创建同样安全的优质代码是必要的。
事实证明,开发人员认为的安全代码与实际的安全代码之间存在很大的差异。
组织可以做些什么来解决这种情况?
调查中最重要的信息之一是,整个开发者社区中充斥着关心自己工作的专业人士。对于他们这个群体来说,编写高质量的代码极其重要。问题在于,在许多情况下,他们工作的组织尚未确定生成安全代码所需的最佳实践,也没有投入足够的资源来培训或帮助开发人员实现这些目标。
实际上,大多数开发人员表示,他们的组织甚至没有明确定义什么构成安全代码。其中最令人担忧的例子之一是,28% 的受访者表示,如果将应用程序或程序部署到生产环境或向公众提供后没有报告任何漏洞,他们的组织就会认为代码是安全的。
这可能不言而喻,但在当今复杂的威胁格局中,仅仅希望取得良好的结果而不实际努力可能会产生可预见的结果:甚至更多的安全漏洞。
值得庆幸的是,在这种情况下,至少开始修复问题,然后开始努力实现安全代码的目标相对容易。第一步,可以说是最重要的步骤是组织定义他们认为安全的代码。而且,该定义之外的所有内容都必须被视为不安全。
安全编码应定义为熟练的开发人员从 SDLC 一开始就编写没有漏洞的代码的做法。只有定义了这种做法,开发者社区才能朝着这个目标努力。
将安全代码的目标变为现实
一旦确定了安全代码的定义,各组织就需要做好准备,为这些工作及其开发人员提供支持,他们将实现实施全面安全代码实践的目标。这种支持至关重要。没有它,组织内安全代码的定义虽然重要,但只不过是纸老虎。安全编码做法必须得到管理层的认可,并给予适当的考虑、授权和预算,才能取得成功。
这可能需要为开发人员设定新的基准测试目标,传统上他们是根据编码速度来衡量的。实际上,调查中有37%的开发人员报告说,在代码中留下了已知漏洞,因为紧迫的期限无法留出修复漏洞或从一开始就正确编码所需的时间。首先,这可能意味着延长最后期限,让开发人员有更多时间正确编码,尽管由于对程序修订、补丁和部署后工作的需求减少,编码过程开始时的时间支出可能会在以后弥补。而且,消除部署漏洞的可能性最终可以节省数百小时,并可能节省数百万美元的收入、罚款和清理成本。
开发人员还需要相关的实践培训,尤其是与他们可能遇到的特定漏洞相关的培训,并帮助他们学习如何识别和修复代码漏洞。鉴于36%的受访者表示他们想从代码中删除漏洞,但没有这样做的技能或知识,这一点尤其如此。
调查中有37%的开发人员报告说,他们的代码中留下了已知的漏洞,因为紧迫的截止日期无法留出修复37个漏洞或从一开始就正确编码所需的时间。
%20(1).avif)
.avif)
