Is je baas het nemen van cybersecurity serieus genoeg?
Een overzicht van security professionals bleek dat meer dan de helft vindt dat het management zijn het negeren van adviezen ontworpen om hen te helpen een veilig verblijf van de cyberaanvallen.
Tenzij je onder een rots, heb je gemerkt nauwelijks een dag voorbij zonder dat er andere ernstige foul-up. Terwijl er meer dan genoeg van de schuld om rond te gaan voor deze eindeloze security problemen, een deel daarvan gaat naar ontwikkelaars die slechte code.
Dat is logisch. Maar wanneer GitLab, een DevOps bedrijf onderzocht meer dan 4.000 ontwikkelaars en exploitanten, ze vond 68% van de security professionals ondervraagde geloof dat het het werk van de programmeur te schrijven secure code, maar ze denken ook dat minder dan de helft van de ontwikkelaars kan ter plaatse gaten in de beveiliging.
Whoops.
Iedereen weet veiligheid moet worden gebakken in de levenscyclus van softwareontwikkeling, maar dat betekent niet dat het is. Uit de enquête blijkt langdurige wrijving tussen veiligheid en ontwikkeling van teams blijven.
Bijna de helft van security professionals is onderzocht, 49%, zei ze worstelen om te krijgen van ontwikkelaars herstel van kwetsbaarheden een prioriteit. Erger nog, 68% van security professionals voelen zich minder dan de helft van de ontwikkelaars kan ter plaatse beveiligingsproblemen later in de levenscyclus. Ongeveer de helft van security professionals gezegd dat ze het meest vaak gevonden bugs na code is samengevoegd in een test omgeving.
Op hetzelfde moment, bijna 70% van de ontwikkelaars zei dat terwijl ze geacht worden te schrijven secure code, krijgen ze weinig begeleiding of hulp. Een ontevreden programmeur zeide: “Het is een puinhoop, geen standaardisatie, de meeste van mijn werk heeft nog nooit een security scan.”
Een ander probleem is dat het lijkt erop dat veel bedrijven niet nemen beveiliging serieus genoeg. Bijna 44% van de ondervraagden gemeld dat ze niet beoordeeld op hun kwetsbaarheden in de beveiliging.
Dus, als je je onder het geweer om de code uit en je weet dat niemand aandacht besteedt aan veiligheid, wat zou je dan doen? Dat klopt. Hang de veiligheid.
Het onderstrepen van een recente studie die, aan hun lot worden overgelaten, veel freelance programmeurs niet de moeite om veilige wachtwoorden in een zakelijke opdracht. Kortom, veel ontwikkelaars niet na te denken over de veiligheid bij het schrijven van code.
Geweldig.
De enquête mag dan nieuw zijn, maar de clash tussen veiligheid en ontwikkelaars is oud. Als Linus Torvalds Linux maker, heeft eens gezegd: “security problemen zijn gewoon fouten.” En security hardening patches zijn niet het gevolg van “in het doden van processen. Het enige proces dat ik ben geïnteresseerd in de _development_ proces, waar wij vinden van fouten en het oplossen van het probleem.”
Torvalds verder, “voor de veiligheid, wanneer u ongeldige toegang, en u verminderen, je hebt het geweldig gedaan, en uw harden was een succes, en je bent klaar. “Kijk ma, het is niet een security issue meer,” en je kunt in principe negeren het als “gewoon een andere bug” dat is nu in een klasse die niet langer uw probleem.”
Maar alleen de vaststelling van het beveiligingsprobleem dat is slechts het begin van een programmeer-fix. Torvalds schreef, “Van een ontwikkelaar standpunt, dingen _really_ niet gedaan. Niet eens in de buurt. Van een ontwikkelaar standpunt, de slechte toegang is slechts een symptoom, en het moet worden gerapporteerd en gecontroleerd, en vast, dus dat het probleem daadwerkelijk wordt opgelost.”
Kortom, Torvalds, en vele andere programmeurs zie beveiliging experts als het krijgen in de manier van het creëren van productieve code. Veiligheid voor hen is het niet de taak Nummer 1 als het krijgt in de manier van het maken van werkafspraken. Goede programma ‘ s vereisen zowel de veiligheid en functionaliteit.
Colin Fletcher, GitLab de manager van marktonderzoek en het customer insights, schreef: “Ons onderzoek zegt ons, dat, terwijl de meeste ontwikkelaars zijn zich bewust van de gevaren die kwetsbaarheden en wilt drastisch verbeteren van hun beveiliging, zijn ze vaak nog steeds gebrek aan organisatorische ondersteuning voor de prioritering secure code maken, het verhogen van secure coding skills en implementatie van automatisch scannen en testen van tooling om dat te laten gebeuren eerder vroeger dan later.”
Van GitLab ‘ s standpunt, het antwoord is een goede DevOps de praktijk. Een van de sleutels tot dit is om de veiligheid van een deel van DevOps. Dan, het gecombineerde team is drie keer meer kans om te ontdekken bugs voordat de code wordt samengevoegd.
Door het ontdekken van kwetsbaarheden in de beveiliging eerder in de pijplijn, niet alleen zijn de resultaten meer veilig, er is waarschijnlijk minder wrijving tussen veiligheid en ontwikkelaars. Ze kunnen nooit van elkaar houden, maar in ieder geval kunnen ze beter. En dat is goed nieuws voor een bedrijf.
Verwante Artikelen:
Dit zijn de meest onveilige programmering languagesMicrosoft: 70 procent van alle security bugs zijn geheugen veiligheid issuesStudy toont programmeurs zullen nemen van de gemakkelijke uitweg en niet implementeren van het juiste wachtwoord beveiliging
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters