在安全編碼成為其文化的一部分之前，軟體公司和開發團隊還有很長的路要走，但有跡象表明，程式設計師和他們的公司都在更加重視安全。

安全培訓公司Secure對1200名軟體開發人員進行的一項調查顯示，雖然只有14%的開發人員認為應用程式安全是他們編碼時的首要任務，但三分之二的人認為應用程式安全將在未來 12到18個月內變得更加重要。安全培訓公司和市場情報公司調查發現，程式碼質量、應用程式效能和解決實際問題是三個首要任務。

安全培訓公司執行長Pieter Danhieux表示，企業在將安全編碼融入其開發文化方面取得了進展，但仍面臨很大挑戰。

結果令人欣慰，因為開發人員正積極期待軟體安全成為更高階別的優先項，然而由於舊習慣很難打破，企業需要建立促進關注程式碼安全的環境，因此還有鴻溝需要克服。

安全培訓公司的2022 年開發人員驅動的安全狀況調查與之前對開發人員對應用程式安全態度的研究一致。例如，2020 年對開源貢獻者的一項調查發現，大多數程式設計師都希望編寫新功能、改進工具和研究新想法，而安全性在優先順序方面排在最後。

這項最新調查強調，將安全性納入開發流程仍然具有挑戰性。大約一半的開發人員(48%)知道程式碼中存在漏洞，而另外19%的人相信他們的一些專案中存在漏洞。

開發人員指出了由於幾種原因而導致缺乏對編碼安全性的關注。例如，四分之一的開發人員 (24%) 在專案開始時沒有足夠的時間來整合安全編碼，而19%的開發人員認為公司沒有實施安全編碼的統一計劃。

調查報告稱：“所有這些努力的共同點是，對開發人員社群的不斷依賴，以幫助推動這些急需的變化。” “從開發人員的角度來看，這些安全運動更多是關於‘從左開始’而不是轉向它，因為正確開始這個過程的最終責任應該從他們開始。”

報告稱“所有這些努力都有一個共同點，那就是不斷依賴開發人員社群來幫助推動這些急需的變化，”“從開發者的角度來看，這些安全行動更多的是‘從左開始’，而不是“左移”。”

開發人員明白，從長遠來看，更好的應用程式安全性確實可以幫助團隊提高生產效率。超過一半的受訪者認為安全編碼是消除漏洞(53%)和錯誤(52%)的方法，從而消除未來的返工。

此外，41%的開發人員在他們的專案中把功能和安全性放在同等的地位，一半(49%)認為安全編碼是一個基本的目標。

該調查還發現，許多公司缺乏構成安全程式或安全編碼的定義。大多數公司(61%)使用了已經被批准的元件和庫，因為這些庫被認為是安全的，而幾乎同樣多的公司積極執行安全分析工具，如 靜態應用程式安全測試(SAST)和動態應用程式安全測試(DAST)。

然而，不可否認的是，開發者永遠不可能捕獲所有的漏洞，公司是否會繼續努力主動保護程式碼或對最新的漏洞做出反應，還有待觀察。Danhieux說。

他說:“如果不安全的程式碼被認為是一種可接受的商業風險，那麼就需要對安全計劃進行徹底改革，以使其適應現代威脅形勢，更不用說客戶的期望以及網路安全方面日益有效的合規和監管措施。”

文章來源：

開發人員越來越重視安全編碼

相關文章