DevSecOps道路曲折:开发人员在代码审计时仍困于安全

admin 2022年8月20日00:14:09安全闲碎评论4 views1579字阅读5分15秒阅读模式

DevSecOps道路曲折:开发人员在代码审计时仍困于安全 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


瑞士苏黎世大学的研究员发布报告称,尽管软件公司中的安全编码实践意识已提升,但在代码审计过程中开发人员仍挣扎于发现并报告安全问题。


组织机构正在“左移”到软件开发周期的早期阶段如代码审计,但研究人员发现企业在安全培训中对安全编码和对开发人员的支持仍然不够。


01
安全“并非优先事项”
DevSecOps道路曲折:开发人员在代码审计时仍困于安全


瑞士苏黎世大学的助理教授兼研究联合作者 Alberto Bacchelli 指出,“我们此前开展的研究证明,开发人员在代码审计过程中经常错过漏洞,即使他们掌握检测这些漏洞的知识。这些研究强调了开发人员对待安全的心态可能是背后的原因。”

这项研究关注开发人员在代码审计过程中的安全态度。研究人员访问了10名开发人员并调查了182名其它人员。研究结果表明,虽然多数参与人员开发了安全敏感的软件系统,但“在审计过程中,安全仍然并非优先事项”,而且可能被评估为“比报告的频率要低”。

此外,“可能鉴于开发人员对自己所开发的应用程序的安全状况的态度,因此在审计过程中可能会忽略安全性。从一方面来讲,开发人员确实认为在代码审计中确保软件的安全性非常重要;另外一方面由于缺少适当的安全培训和知识,它们力不从心。”


02
企业必须更加积极主动
DevSecOps道路曲折:开发人员在代码审计时仍困于安全


研究还强调了企业在代码审计中改进安全性的组织劣势。

Bacchelli 表示,“大多数参与人员认为企业应当在支持安全实践方面做更多的工作。”例如,开发人员执行安全代码审计时得不到认可。此外,企业不提供安全培训活动却希望开发人员自己获得安全技能。

Bachelli 提到,“从原则上来讲,组织机构可能需要考虑提升安全意识并在开发流程中集成更加严格的软件安全实践来构造不同的心态。”

研究人员提出的建议包括为确保应用安全的开发人员展示明确的奖励系统,并提供安全培训活动,让开发人员有学习的时间。研究人员还强调称,不同的开发人员和团队之间应当责任明确,“开发人员在安全假设方面应谨慎并传播意识,如认为安全是另外一款组件或团队的责任。”


03
人工代码审计的局限性
DevSecOps道路曲折:开发人员在代码审计时仍困于安全


Synopsys 软件安全性团队的高级安全工程经理 Allon Mureinik 表示,“(人工)代码审计本身是检测安全漏洞的非常不恰当的解决方案。”

他证实了这项研究的研究成果,并表示代码审计人员通常是根据安全经验而非对既定编程语言或领域的知识和经验而选定的。他表示,“在压力情境下(如在技术行业非常常见的最后期限到期)执行代码审计时,审计人员很可能会趋向于自己的舒适区,但这种舒适区基本不是安全性。”他还提醒称,最后,人工审计人员不可避免地犯错,因此应当辅以自动化,“虽然自动化工具永远不可能完全取代人工审计人员,但可用于检测常见且明显的安全缺陷,并让人工审计人员专注于需要全神贯注地理解的更加复杂的问题。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

DevSecOps道路曲折:开发人员在代码审计时仍困于安全









推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文
更好的 DevSecOps,更安全的应用
推进 DevSecOps 走向未来



原文链接

https://portswigger.net/daily-swig/developers-still-struggling-with-security-issues-during-code-reviews-study-finds


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




DevSecOps道路曲折:开发人员在代码审计时仍困于安全
DevSecOps道路曲折:开发人员在代码审计时仍困于安全

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   DevSecOps道路曲折:开发人员在代码审计时仍困于安全 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):DevSecOps道路曲折:开发人员在代码审计时仍困于安全

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月20日00:14:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  DevSecOps道路曲折:开发人员在代码审计时仍困于安全 http://cn-sec.com/archives/1243492.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: