DevSecOps道路曲折：开发人员在代码审计时仍困于安全

组织机构正在“左移”到软件开发周期的早期阶段如代码审计，但研究人员发现企业在安全培训中对安全编码和对开发人员的支持仍然不够。

01

安全“并非优先事项”

瑞士苏黎世大学的助理教授兼研究联合作者 Alberto Bacchelli 指出，“我们此前开展的研究证明，开发人员在代码审计过程中经常错过漏洞，即使他们掌握检测这些漏洞的知识。这些研究强调了开发人员对待安全的心态可能是背后的原因。”

这项研究关注开发人员在代码审计过程中的安全态度。研究人员访问了10名开发人员并调查了182名其它人员。研究结果表明，虽然多数参与人员开发了安全敏感的软件系统，但“在审计过程中，安全仍然并非优先事项”，而且可能被评估为“比报告的频率要低”。

此外，“可能鉴于开发人员对自己所开发的应用程序的安全状况的态度，因此在审计过程中可能会忽略安全性。从一方面来讲，开发人员确实认为在代码审计中确保软件的安全性非常重要；另外一方面由于缺少适当的安全培训和知识，它们力不从心。”

02

企业必须更加积极主动

研究还强调了企业在代码审计中改进安全性的组织劣势。

Bacchelli 表示，“大多数参与人员认为企业应当在支持安全实践方面做更多的工作。”例如，开发人员执行安全代码审计时得不到认可。此外，企业不提供安全培训活动却希望开发人员自己获得安全技能。

Bachelli 提到，“从原则上来讲，组织机构可能需要考虑提升安全意识并在开发流程中集成更加严格的软件安全实践来构造不同的心态。”

研究人员提出的建议包括为确保应用安全的开发人员展示明确的奖励系统，并提供安全培训活动，让开发人员有学习的时间。研究人员还强调称，不同的开发人员和团队之间应当责任明确，“开发人员在安全假设方面应谨慎并传播意识，如认为安全是另外一款组件或团队的责任。”

03

人工代码审计的局限性

Synopsys 软件安全性团队的高级安全工程经理 Allon Mureinik 表示，“（人工）代码审计本身是检测安全漏洞的非常不恰当的解决方案。”

他证实了这项研究的研究成果，并表示代码审计人员通常是根据安全经验而非对既定编程语言或领域的知识和经验而选定的。他表示，“在压力情境下（如在技术行业非常常见的最后期限到期）执行代码审计时，审计人员很可能会趋向于自己的舒适区，但这种舒适区基本不是安全性。”他还提醒称，最后，人工审计人员不可避免地犯错，因此应当辅以自动化，“虽然自动化工具永远不可能完全取代人工审计人员，但可用于检测常见且明显的安全缺陷，并让人工审计人员专注于需要全神贯注地理解的更加复杂的问题。”