È il tuo capo, l’assunzione di cybersecurity abbastanza sul serio?
Un sondaggio di professionisti della sicurezza ha rilevato che più della metà ritiene di gestione stanno ignorando i consigli progettati per aiutarli a rimanere al sicuro da attacchi informatici.
A meno che non sei stato sotto una roccia, hai notato difficilmente passa un giorno senza che un altro grave fallo di sicurezza-up. Mentre c’è un sacco di colpa per andare in giro per questi infiniti problemi di sicurezza, alcuni dei quali va per gli sviluppatori che scrivono male di codice.
Che senso. Ma quando GitLab, DevOps società, censite oltre 4.000 gli sviluppatori e gli operatori, hanno trovato il 68% dei professionisti della sicurezza intervistati ritiene che è un programmatore di lavoro per la scrittura di codice sicuro, ma pensano anche meno della metà di sviluppatori possono individuare falle di sicurezza.
Whoops.
Tutti sanno che la sicurezza deve essere cotta nel ciclo di vita di sviluppo, ma questo non significa che non si è. L’indagine ha mostrato di lunga data di attrito tra sicurezza e sviluppo, le squadre rimangono.
Quasi la metà di sicurezza pro intervistati, il 49%, ha detto che la lotta per ottenere gli sviluppatori a fare di bonifica della vulnerabilità di una priorità. Peggio ancora, il 68% dei professionisti della sicurezza si sentono meno della metà di sviluppatori possono individuare le vulnerabilità di sicurezza più tardi nel ciclo di vita. Circa la metà dei professionisti della sicurezza, ha detto che più spesso i bug riscontrati dopo il codice viene fusa in un ambiente di prova.
Allo stesso tempo, quasi il 70% degli sviluppatori ha detto che, mentre essi sono tenuti a scrivere codice sicuro, avere qualche consiglio o aiuto. Uno scontento programmatore ha detto: “È un pasticcio, non c’è la standardizzazione, la maggior parte del mio lavoro non ha mai avuto una scansione di sicurezza.”
Un altro problema è che sembra che molte aziende non prendono sul serio la sicurezza sufficiente. Quasi il 44% degli intervistati ha segnalato che non sono giudicati sulla loro vulnerabilità di sicurezza.
Quindi, se siete sotto la pistola per ottenere il codice e si sa di nessuno, attenzione alla sicurezza, cosa faresti? Che è di destra. Blocchi di sicurezza.
Sottolineando questo, un recente studio ha rilevato che, a sinistra per i propri dispositivi, molti programmatori freelance non si è preoccupato di password sicure in un business di assegnazione. In breve, molti sviluppatori non pensano alla sicurezza durante la scrittura del codice.
Grande.
L’indagine può essere nuovo, ma lo scontro tra le forze di sicurezza e gli sviluppatori, è antica. Come Linus Torvalds, creatore di Linux, una volta disse: “i problemi di sicurezza sono solo bug.” E la protezione avanzata patch non dovrebbe mai risultato “a uccidere i processi. L’unico processo che mi interessa è il _development_ processo, dove si trovano i bug e correggerli.”
Torvalds ha continuato: “Da un punto di vista della sicurezza, quando si trova di accesso non valido, e a mitigare, hai fatto un ottimo lavoro, e il vostro indurimento è stato di successo, e il gioco è fatto. “Guardare ma, non è un problema di sicurezza in più”, e sostanzialmente si può ignorare come “solo un altro bug” che è ora in una classe che non è più un tuo problema.”
Ma semplicemente di fissare il problema di sicurezza è solo l’inizio di una programmazione fix. Torvalds ha scritto, “Da uno sviluppatore di vista, le cose _really_ non sono fatto. Non è nemmeno vicino. Dal punto di vista di uno sviluppatore, il cattivo e l’accesso è stato solo un sintomo, e deve essere segnalato e corretto, e fisso, in modo che il bug viene corretto.”
In breve, Torvalds, e molti altri programmatori di consultare degli esperti di sicurezza per fare in modo che la creazione di produttivi codice. La sicurezza per loro non è lavoro N. 1 se si ottiene nel modo di fare di codice di lavoro. Buoni programmi che richiedono sia di sicurezza che di funzionalità.
Colin Fletcher, GitLab manager di ricerche di mercato e customer insights, ha scritto: “la Nostra ricerca ci dice che, mentre la maggior parte degli sviluppatori sono consapevoli dei pericoli che le vulnerabilità presenti e desidera migliorare notevolmente le loro funzionalità di sicurezza, che spesso manca ancora il supporto organizzativo per la priorità di codice sicuro di creazione, aumentando la sicura capacità di codifica, e l’attuazione di scansione automatica e collaudo di stampi per fare che questo accada il più presto possibile.”
Da GitLab punto di vista, la risposta è un buon DevOps pratica. Una delle chiavi di questo è che la sicurezza di una parte di DevOps. Quindi, il team combinato è di tre volte più probabilità di scoprire i bug prima che il codice è unita.
Da scoprire le vulnerabilità di sicurezza in precedenza nella pipeline, non solo sono i risultati più sicuri, c’è, probabilmente, meno attrito tra la sicurezza e gli sviluppatori. Non potranno mai amarsi, ma almeno si può andare d’accordo meglio. E che è una buona notizia per qualsiasi azienda.
Storie Correlate:
Questi sono i più insicuri di programmazione languagesMicrosoft: il 70 per cento di tutti i bug di sicurezza sono la memoria di sicurezza issuesStudy mostra i programmatori potranno prendere la via più facile e di non implementare la corretta password di protezione
Argomenti Correlati:
Linux
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati