為什麼說減少開發人員和安全團隊之間摩擦有助提高軟體安全性

Tromzo釋出一項調查表明，改善安全團隊與開發人員的關係，有助於在提高軟體安全性上發揮更大作用。該調查結果基於對403名美國應用程式安全從業者的調查，這些從業者在其開發團隊使用CI/CD系統的組織中工作。

Tromzo執行長表示：“調查結果證實了這個觀點，即安全團隊有必要在2022年將改善與開發者的關係作為一項首要任務。”當將安全性推遲到軟體開發過程的後期時，這種延遲會以明顯和意外的方式使公司付出巨大的代價。

但可以通過為開發人員簡化安全措施來增加軟體的安全性，這意味著將安全檢測整合到SDLC中，並將安全防禦從被動轉到主動上來。

應用程式安全狀態

應用程式安全態勢仍舊很嚴峻，67%的人在過去一年中經歷過安全事件。如果安全團隊確信在開發環境中實施了安全防禦及安全檢測措施，會降低發生嚴重安全事件的風險。

40%有5,000個或更多安全漏洞需要解決，而且在過去12個月中，這一比率迅速增加。這種漏洞的激增是AppSec團隊必須儘早解決的普遍問題。

與其將安全性推遲到以後，不如讓它成為開發過程的核心部分。將安全性注入到每個開發決策中，而安全工作的總體成本也會降低。

在引入缺陷的那一刻修復它是最容易的。以後修復它的難度呈指數級增長。例如，在設計階段引入的缺陷直到部署後才得到解決，這將需要付出更多的努力來修復。資料顯示它需要25倍的努力。

讓安全成為開發過程的一部分

42%的人認為看到的誤報和噪音較多。誤報和噪音是缺乏上下文的安全工具的副產品，常見的 靜態程式碼檢測工具會存在一些類似問題，但隨著技術深入及檢測工具對上下文敏感的運用，當前存在誤報率、漏報率等問題大大降低的工具。

減少開發人員和安全性之間的摩擦將對改進應用程式安全性程式產生重要的影響。任何試圖將安全與開發團隊之間的衝突最小化的嘗試，如果不包括將安全向左轉移，都不可能成功。安全性在開發週期結束時實現，很可能造成與開發人員的摩擦，進而導致安全的應用程式部署延遲。

忽視安全是開發者最大的挑戰。這個問題通過將安全左移可以進行有效解決，在整個SDLC中整合安全檢測將顯著改善與開發人員的關係，從外部防禦軟體安全轉移到主動提高軟體安全上來，協助開發人員能夠開發安全程式碼。當建立了安全性時，企業可以節省精力、最大限度地提高生產力、在引入漏洞時快速解決它們，甚至完全避免引入漏洞。

參讀連結：

https://www.helpnetsecurity.com/2021/12/29/improve-application-security/