81%的開發人員表示知道軟體存在缺陷

2021年5月的一份報告發現，81%的開發人員表示會在知道軟體存在缺陷的情況下發布易受攻擊的應用程式，76%的開發人員經歷了為了權宜之計犧牲移動安全的壓力。資料顯示，90%的網路攻擊事件與軟體安全漏洞有關，作為網路安全的基礎組成部分，確保軟體安全愈發重要。

需要改變什麼才能打破這個迴圈?又該如何開始行動?

軟體開發職責

報告中資料表明：20%的高管經常對不安全的應用程式表示預設，而80%的管理者把責任推給了沒有做好本職工作的開發者。另一方面，開發者似乎將此歸咎於資源的缺乏。

關於為什麼有安全漏洞的軟體和應用程式要進入市場的爭論是多方面的，涉及到的利益相關者主要有：

DevOps團隊

軟體買家

甚至CISO

每個人似乎都想推卸責任，甚至聲稱修補漏洞是生活中不可避免的事實。

但不論是在國外還是國內，對網路安全的重視讓人們質疑依賴售後補丁的做法是否足夠有效，企業在安全的開發環境中開發軟體似乎更能提早預防安全漏洞的產生。

目前多條涉及網路安全及資料安全的法規要求企業機構確認軟體是否安全，並檢查其中的程式碼問題，尤其大規模引入的開源元件。對開發人員來說可能要熟悉新的工作習慣和流程，他們應該重新檢查他們的開發環境，並提高應用程式開發的整體安全標準。

軟體安全開發人人有責

從管理層到安全、運營、開發、專案和產品管理，軟體開發流程中的每一員需要明白的第一個也是最重要的概念是，安全是每個人的責任。開發不能怪資源不足，管理不能怪開發人員沒有做好他們的工作，運營不能怪工作過度，不能及時安裝升級和補丁。

如果軟體開發生命週期 (SDLC) 的所有參與者都沒有對解決方案、環境和解決方案的整個生命週期的安全性進行關注和投入精力，那麼該過程很容易失敗。管理、專案和產品管理都需要確保他們為安全、運營和開發團隊所需的工具投入時間、精力和資金，以確保他們擁有安全的應用程式。

當每個人對安全都有正確的心態，並且分擔了應用程式安全性的責任，接下來一起看看SDLC。有一些標準、工具和指導可以使企業的DevSecOps建設更加流暢，如開發期間檢測程式碼安全的 靜態程式碼檢測工具及SCA開源成分分析工具，動態應用程式測試工具及互動式應用程式測試工具，可以幫助開發人員在整個流程中更好地發現及解決軟體安全問題，良好的安全輔助工具有助於大大提高開發效率。

不可避免的打補丁

沒有發現漏洞，並不意味著不存在漏洞。開發人員也很難預測每一次更新的每個安全漏洞，這就是為什麼存在補丁的原因。理想情況下，將漏洞的快速響應納入應用程式設計更穩妥。

設計向前相容允許系統接受用於其自身更高版本或第三方元件的輸入，並且能夠將新版本快速投入生產，有助於在該領域響應零日漏洞或已識別的關鍵漏洞。

規劃跨職能協作的叢集過程，可以讓團隊為敏捷響應安全威脅做好準備。準備和預測與釋出活動同時發生的安全響應可以訓練團隊快速識別關鍵資源來解決漏洞，為他們提供必要的支援，並提供快速的更新路線來解決威脅，同時進行其餘的開發團隊不間斷地執行他們當前的活動。

安全工作並不止於此，到目前為止，我們已經為SDLC的所有參與者建立了安全心態，建立了基本的安全編碼實踐，並推薦了實施安全開發所需的工具，來保護自研程式碼及第三方程式碼安全，確保開發環境安全。

企業確保軟體安全的最終目的，是保護使用者、裝置及資料的安全，在有效實施的情況下可以顯著降低可能允許攻擊者訪問企業軟體供應鏈的資料洩露可能。這可以透過在使用者與應用程式互動時不斷驗證使用者的網路、裝置和上下文來完成。

讓我們回到了網路安全的兩個核心原則：系統開發安全是每個人的責任，時刻保持警惕確保軟體安全，兩者都需要成為公司DNA的一部分。

參讀連結:

https://www.helpnetsecurity.com/2021/11/05/software-development-responsibility/