2014-12-9
導讀:安全代碼實踐,即用一種無漏洞、防止黑客盜取數據的方式來編寫應用程序。這並非全新的理念,早在10年前,就有應用安全專家提出了安全信息代碼的話題。
關鍵詞:應用安全 軟件安全測試
【TechTarget中國原創】 近期一項調查顯示,軟件專家能夠對應用安全的概念有基本瞭解,但是,他們卻無法修復由此所引發的安全問題。
軟件專家自身以及他們所提供的業務指導方面都缺乏軟件安全編碼的實踐經驗。
像Target、Home Depot以及JP Morgan Chase這樣的公司都將安全漏洞視爲頭條新聞,在這種商業環境中,安全編碼實踐便成爲一個大問題。如果軟件專家們瞭解如何編寫抗攻擊性代碼,並且高層管理人員能夠將安全編碼排在優先的地位,那麼,就可能阻止這些安全漏洞和數據缺失的發生。
安全代碼實踐,即用一種無漏洞、防止黑客盜取數據的方式來編寫應用程序。這並非全新的理念,早在10年前,就有應用安全專家提出了安全信息代碼的話題。John Dickson是聖安東尼奧Denim Group應用安全諮詢公司的一位主管,他說:“通過改變軟件的構建才能真正地解決其安全問題。”
但是,專業人士卻對其置若罔聞。2014年Denim Group公司的一項調查報告顯示,軟件專家能夠對應用安全的概念有基本瞭解,如SQL注入,但是,他們卻無法修復由此所引發的安全問題。2014年Denim Group公司的“應用安全研究報告”對600名軟件開發人員、架構師和質量保證專家進行了調查。該報告從應用程序安全概念(如威脅建模和輸入驗證)以及對防禦性編碼的理解兩方面對各位專家進行測試調查。
軟件專家未能通過安全測試
Dickson是該報告的主要撰寫人,在近期的一項會談中,他與我分享了Denim Group公司的一些新發現:
Dickson說,大多數軟件開發人員對應用安全概念都會有一定的瞭解,但是,他們卻不必瞭解如何將這些概念融入到實踐中。Dickson 說:“當被問及到如何編寫更爲安全的代碼時,這些專家都回答不上來。”他說,這些專家們回答應用安全性問題時,平均只有56%的問題回答正確,“70%專家不及格。”同樣,很多軟件專業人士也沒有受過足夠多的應用安全培訓。其中一個調研問題是,“你曾經接受過多長時間應用安全教育?”半數被調查者的答案是,一天以上。另外一半的被調查者的答案是,少於一天,或者是沒有被培訓過。
我願意這樣想,一天的應用安全培訓至少比沒有培訓過的要好得多。但是,調查結果的實例表明,事實未必如此。在調查中,我們對那些自稱接受過應用程序安全培訓的專業人士這樣提問:“你的公司實施過 SDLC或者其他流程改進措施,從而使所培訓的概念在實際運行中變得正規化嗎?”33%的人的回答是“yes”,而另外三分之二的人的回答是“不瞭解”或者是“no”。換句話說,儘管有的企業對軟件工作人員進行了應用安全培訓,但是,有的企業還是“採用以前的方式方法進行現有工作。”
失敗的高層管理者
假設,以上調查結果精確地反映了目前企業的應用安全培訓現狀,那麼這種狀況有點不妙。爲了使軟件專家跟上應用安全的發展速度,企業花費了大量的時間和金錢。然而,一旦學員回答日復一日的工作崗位上,企業卻從來沒有在加強培訓所學概念上下任何功夫。然而,那些口頭上批准應用安全培訓開支的企業高管們,在實際防止安全事故發生的工作中,卻沒能保持對安全代碼實踐的支持。對於軟件專家培訓的相關細節我們沒法說的太細緻,但是,可以清楚地知道的是:他們並非要將應用安全性列爲首要位置。
只要這種情況一直持續下去,軟件專家們就不可能重視應用安全培訓。當然,也會有較少數的軟件人士願意將時間投入到成爲一名資深的應用程序安全專家上面。但是,大多數人還是認爲安全編程實踐僅是一系列不錯的技能,而對於工作績效來說並沒有什麼直接關係。
當專家們真正認識到,通過培訓才能獲得某些技能時,纔會更多的關注到培訓的重要性,開始做記錄,開始提出問題。當需要使用到這些技能時,我們開始需求保證,並研究在何處能學會這些技能。我們這樣做,是因爲,我們工作上的成敗都與這些技能有關係。
當問到,是否瞭解應用安全性以及是否掌握了安全代碼實踐時,我們的回答是,還遠未達到這種水平。這種回答意味着,不僅僅是軟件人員在該考覈中沒有及格,高官們同樣也是不及格的狀態。