波士頓、雪梨、倫敦、比利時布魯日和俄勒岡州波特蘭--(美國商業資訊)--全球安全編碼公司Secure Code Warrior®的新調查顯示,軟體開發業的態度正在發生轉變,各大組織紛紛放棄開發維運(DevOps)和安全開發維運(Secure DevOps)方面的傳統做法。
這項涵蓋專業開發人員及管理者的全球調查發現,十分之七(70%)的組織已經體認到安全編碼實務的重要性,整個產業從被動回應向主動防範的轉變也隨之可見。
Secure Code Warrior共同創辦人兼科技長Matias Madou博士表示:「我們看到,全球的思維方式正出現根本性的改變。以前,軟體開發業通常是在出現安全性漏洞之後,再推出權宜解決方案。但現在已經慢慢變為主動防範、由人主導的做法,從一開始就從根本上避免了程式碼的缺陷,編寫出優質軟體。」
他表示:「這項調查顯示,『安全程式碼』已成為軟體開發中『優質程式碼』的代名詞,不僅僅是應用程式安全(AppSec)專業人員,開發團隊和領導人也必須對程式碼的安全性負責。」
用「被動回應式」做法來保證程式碼安全已成過去
被動回應式的做法,例如在已部署的應用程式上使用相關工具以及手動檢查程式碼的漏洞,是工作中涉及編碼安全性的受訪者最常採用的兩種做法。但是,全球都表現出思維方式朝著「防大於治」的方向發展,接受調查的開發人員中有超過一半(55%)的人也認為在編寫軟體的過程中,採用安全編碼這種主動、持續的做法,能有效避免程式碼的漏洞。
管理者和開發人員的思想不統一
在此次調查中,超過一半(55%)的管理人員表示,安全編碼已在整個開發過程中得到實施和整合,而同意這一說法的開發人員只有43%。相反,36%的開發人員會在開發而非設計階段考慮使用安全編碼,相比之下,只有不到三分之一(32%)的管理人員會這樣做。
安全程式碼逐漸成為衡量成功的指標
儘管受訪者將「應用程式效能」和「功能與特點」作為軟體開發中最常用的成功衡量指標(分別為67%和62%),但將近五分之四(79%)的受訪者認為,「安全程式碼」的重要性已日益凸顯。
應用程式安全性正在發生變化
幾乎一半的受訪者(46%)表示,開發主管和團隊應當對應用程式的安全性負責,而不是應用程式安全團隊(24%)。在接受調查的開發人員中,超過十分之八(81%)的開發人員認為,他們應對所產生的任何易受攻擊的程式碼負責。
開發人員提高自身技能水準的動力
「提高生產力和效率」、「好奇心」和「避免不安全程式碼導致的問題」被列為學習安全編碼的主要內在動力(分別為20%、14%和11%)。儘管只有10%的受訪者將職涯晉升作為個人學習的動力,但五分之四(81%)的管理人員更願意聘用具備安全編碼技能的人才。
需要加強培訓
91%的管理人員表示,儘管大多數(97%)受訪者認為自己已經接受了足夠的培訓,但當他們在企業內落實安全編碼實務時面臨更大困難。這也許是因為在接受調查的開發人員中,幾乎十分之九(88%)的人都承認安全地完成編碼具有挑戰性。
Madou補充道:「在過去的20年中,OWASP列出的十大軟體缺陷造成的安全性漏洞遠多於其他任何漏洞,因此如今是企業採取行動以提高開發人員技能的時候,讓他們掌握必備的知識和技能,杜絕不安全程式碼,做到防患於未然。」
「程式碼是日常互動的核心,Secure Code Warrior專注於為具備程式碼安全技能的開發人員提供支援,為我們的互聯世界打造出色而安全的軟體。」
如欲搶先查看報告 「從被動回應變為主動防範:2021年應用程式安全現新貌」(Shifting from reaction to prevention: The changing face of application security 2021),請在scw.buzz/earlyaccess註冊。
調查方法
Secure Code Warrior®委託IT界市場情報領導者Evans Data Corporation對從事軟體開發的開發人員和決策者進行全球調查。2020年8月,北美、印度、英國、歐洲、澳洲、紐西蘭和東南亞的400名受訪者接受了調查。
關於Secure Code Warrior
Secure Code Warrior是以開發人員為中心的解決方案開發企業,力求幫助他們建立起強大的安全編碼技能。透過為開發人員提供積極且一流的安全編碼體驗,帶領他們提高軟體安全方面的技能。我們以人為主導的方法旨在加強編碼開發人員的程式碼安全意識,從而幫助開發團隊更快地交出優質程式碼。
在我們的啟發下,由具有安全意識的開發人員組成的全球社群開始採用預防性的安全編碼方法,而我們的目標是率先開發出以人為本的解決方案,幫助提升安全方面的技能,徹底消除低效的編碼模式。如欲瞭解更多資訊,請造訪securecodewarrior.com。
原文版本可在businesswire.com上查閱:https://www.businesswire.com/news/home/20210323006113/en/
免責聲明:本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用,煩請參照原文,原文版本乃唯一具法律效力之版本。
聯絡方式:
媒體查詢、查看完整報告或安排採訪:
Carly Ryan,Hotwire