最近,根据WhiteHat Security在制造业、公共服务、医疗保健、零售、教育和公用事业中使用的新研究中,至少有50%包含一个或多个严重的可用漏洞。
而根据AppSec Stats Flash 今年启动的应用安全调查报告,制造业的应用安全“暴露窗口”该行业近70%的应用程序至少存在严重的可用漏洞。
WhiteHat过去三个月记录的前五类漏洞是信息泄露、会话到期、跨站脚本、传输层保护不足和内容欺骗。报告作者指出:“发现和利用上述漏洞所需的工作和技能门槛很低,容易受到攻击。”
同时,行业用户缓解关键漏洞的平均时间较长。报告发现,所有行业的平均漏洞缓解时间为189天。然而,令人欣慰的是,过去12个月的平均天数有所下降(同比减少5天)。三个行业的漏洞缓解性能最差——教育、公共管理和房地产平均需要一年多的时间来缓解关键漏洞。
对应用安全人才的需求激增
应用程序开发安全已成为 *** 安全未来发展的关键。一项新的行业研究表明,开发安全已成为增长最快的 *** 安全技能。预计未来五年对安全技能开发的需求将增长164%。五年内,2020年29635年开发安全人才的岗位差距将扩大到48601人。
上述调查发现了一个重要问题:应用程序开发的安全性是什么?是什么促进了它?“安全左移”开发安全需求快速增长
应用开发的安全性是什么?
首先,开发安全是通过发现和修复漏洞来提高应用程序的防御能力。顾名思义,这个过程通常发生在应用程序进入生产环境之前的开发阶段。但也可能发生在所有者部署了这些应用程序之后。
测试应用程序开发安全性的 *** 有很多,统称为应用程序安全性测试(AST),主要有以下三类:
- 静态应用程序安全测试(SAST):这种类型Web在应用程序安全测试中,安全专家对应用程序的系统结构有一定的了解。他们可以利用这些知识来报告源代码中的弱点。
- 动态应用程序安全测试(DAST):与SAST相反,DAST假设测试人员不了解应用程序的代码。其目的是在特定应用程序的运行状态下发现潜在缺陷。
- 交互式应用程序安全测试(IAST):此 *** 将SAST和DAST结合在一起,成为一种混合 *** 。
根据Verocode发布的《2020年软件安全现状报告》结合多种扫描类型(包括静态分析)(SAST)、动态分析(DAST)分析软件组成(SCA))团队可以提高修复率。同时使用的SAST和DAST修复漏洞的人可以缩短24天。SDLC自动化安全测试比非自动化测试快17.5天。
简而言之,软件安全测试(自动化)工具需要与研发团队现有的研发过程和安全实践相匹配,并有能力与研发管理平台相整合。
为什么应用程序开发需要安全?
对应用程序开发安全性需求的不断增长反映了两个持续趋势。
- 世界正变得越来越移动。企业和其他组织投资于其用户,使他们能够通过各种设备上的移动应用程序与他们的服务互动。在此过程中,他们需要具备相应安全技能的人员来保护这些移动应用程序,以确保为越来越多的用户提供一致和安全的移动性能。
- 应用漏洞削弱了开发者和用户之间的信任。总的来说,漏洞在移动应用中很常见。2020年iOS和Android应用研究发现,近四分之三的移动应用程序没有通过基本的安全测试。在这些被调查的应用超过五分之四(83%)至少有一个漏洞,其中91%iOS应用和95%的Android应用都报告了漏洞。
没有开发安全,就没有业务安全
软件漏洞对企业构成了重大威胁。服务器端控制弱、数据存储不安全、密码破解等问题为外部攻击者窃取信息打开了方便的大门。潜在客户可能会选择不处理数据泄露的实体,因为应用程序开发的安全性。
最后,客户和业务合作伙伴可能比监管机构和消费者更关注供应链合作伙伴的应用程序开发安全。企业应在受到攻击前告诉客户他们使用了哪些应用程序和工具来编写安全代码。在某些情况下,客户比监管机构和合规审计师对开发安全施加更大的压力。这表明,开发安全已经成为一种关键的业务方式,企业可以通过这种方式与客户一起开展业务,并保持密切相互信任的伙伴关系,而不是在数据泄露事件披露后。
开发人员的更佳做法
就像工作场所需要的安全防御技能一直在变化一样,开发安全技能本身也在变化。开发人员工具链内置的软件组件分析工具和有限的防御测试可能会在未来几年取代旧的AST *** 。行业专家预测,到2022年,自动化解决方案将能够修复SAST工具发现的10%漏洞。
这些预测揭示了应用程序开发安全发展的趋势。然而,这些趋势与当前开发人员安全发展的更佳实践并不冲突。例如,开发人员应该意识到,他们几乎不需要从零开始编写自己的代码。他们不能希望“右侧的”安全保护。相反,开发人员可以使用安全框架来促进其代码开发过程,并确保使用最新版本的第三方代码或库。
开发人员还应注意团队合作的力量,与安全架构师和运营团队合作实施威胁建模。这个过程不仅有助于发现和分类潜在的威胁,而且促进沟通和相互理解,这是建设DevSecOps文化基础工作。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章