开发安全从左开始而不是安全左移

在安全成为软件开发的有机组成之前，软件公司和开发团队还有很长的路要走，但已经有明显的迹象表明，程序员和他们的公司都在更认真地对待安全问题。

安全培训公司Secure Code Warrior和市场调研公司Evans Data，调查了1200名活跃的软件开发者，调查发现只有14%的开发者认为应用程序的安全性是他们的首要任务，但有三分之二的人认为，应用程序的安全性在未来12到18个月将变得更加重要。

从左开始而不是安全左移

secure Code Warrior首席执行官兼联合创始人Pieter Danhieux认为，企业在将安全融入开发文化方面取得了进展，但仍面临重大挑战。

“结果令人鼓舞，因为开发人员正积极期待软件安全成为更高的优先事项。然而，这里有一个必须克服的鸿沟。我们知道旧习惯很难打破，组织需要承担起创造环境的责任，以促进更好的代码质量和安全性。”

将安全性纳入开发流程仍然具有挑战性。大约一半的开发人员（48%）在知情的情况下发布带有漏洞的代码，另有19%的开发人员认为他们的一些项目存在已知漏洞。

开发者列出了一些阻碍因素，来解释安全性的缺乏。例如，四分之一的开发人员（24%）没有足够的时间在项目开始时将代码安全整合进来，而19%的开发人员认为公司没有一个统一的实施开发安全的计划。

“从开发者的角度来看，开发安全更多的应该‘从左开始’，而不是‘左移’，因为正确开始流程的最终责任是开发者。”

更好的安全性意味着更少的返工量

开发人员普遍理解，从长远来看，更好的应用程序安全性确实有助于提高团队的工作效率。超过一半的受访者认为安全编码可以消除漏洞（53%）和错误（52%），从而避免未来的返工。

此外，41%的开发人员在他们的项目中把功能和安全放在同等地位，一半（49%）的开发人员认为安全编码是一个基本目标。

没有开发人员会故意创建糟糕的编码或引入安全风险，因此为了避免这种情况的出现，需要向程序员展示正确的编码方式，提供有意义的培训。但从此次调查结果来看，开发安全的培训仍然不到位。30%的开发人员希望看到培训集中在与他们的工作相关的更真实的示例上，而四分之一的开发人员（26%）希望进行交互式培训。

漏洞宿命论

调查还发现，许多公司对安全程序或安全编码的构成缺乏定义。大多数公司（61%）使用的组件和库已获得许可使用，因为它们被认为是安全的，同时几乎同样比例的公司在积极运行分析工具，如静态应用程序安全测试（SAST）和动态应用程序安全测试（DAST）。

然而，漏洞永远存在，开发人员也不可能杜绝所有的漏洞，这一宿命论令人感到沮丧，甚至会影响继续努力、主动保护代码的动力。但如果不安全的代码被认为是一种可接受的商业风险，那么就需要对安全计划进行彻底改革，使其与现代威胁环境相适应，最终匹配客户的期望以及网络安全的相关政策合规和监管。

报告地址：

https://www.securecodewarrior.com/press-releases/secure-code-warrior-survey-finds-86-of-developers-do-not-view-application-security-as-a-top-priority