四种常见的软件安全开发问题及解决方法

HK酋长 lv.1

发布时间：2021-12-13 11:19:14 529

相关标签： # chrome# golang# ruby-on-rails

随着软件成为现代业务的支柱，网络攻击已成为一种无时不在的威胁，这使得应用安全成为确保业务连续性的必要条件。这篇文章研究了四种常见的软件安全开发问题及其解决方法。

管理和维护安全软件的过程可能会给寻求尽快交付功能的开发人员带来意想不到的障碍。研究表明，59%的公司现在每天多次、每天一次或每隔几天部署一次代码。然而，随着软件成为现代企业的支柱，网络攻击成为一种无时不在的威胁，这使得应用安全成为确保业务连续性的必要条件。

左移运动——在开发过程的早期进行安全测试和修复缺陷——增加了开发人员在应用程序安全方面发挥作用的需求，但受过安全培训的开发人员仍然存在很大的技能差距。有兴趣提高安全知识的开发人员可以从了解一些常见的DevSec问题开始。

四种常见的软件安全开发问题及解决方法

挑战一：漏洞修复时间缓慢

对于开发人员和安全团队来说，最常见的挑战之一是安全债务——代码中存在很长时间的安全漏洞，如旧的信用卡余额，现在解决起来比引入时要昂贵得多。为避免增加安全债务，开发人员可以实施自动化扫描和测试。

自动化程度越高越好：在一次年度软件安全状况(SoSS)报告中，我们发现将动态分析(DAST)与静态分析(SAST)结合使用的组织修复50%的安全漏洞平均快24.5天。

更快地查找和修复新缺陷的另一种方法是更频繁地扫描。更频繁的扫描使组织能够以22.5天的速度到达中间点，并且通过API运行SAST扫描将修复50%的缺陷的时间缩短了17.5天。

研究还表明，稳定的扫描节奏可以帮助您的团队看到缺陷类型比例的有意义的变化，并随着时间的推移减少安全债务。将安全测试视为马拉松，而不是短跑：在赛事前一周只跑50英里并不能为马拉松做好准备。

挑战二：常见代码安全漏洞的引入

了解哪些缺陷对您的应用程序构成最大风险以及它们是如何引入的，对于防止这些常见缺陷导致的破坏性网络攻击至关重要。我们的SoSS报告发现，信息泄露(65.9%)、CRLF注入(65.4%)、密码问题(63.7%)和代码质量(60.4%)是应用程序中最常见的缺陷。为了解决这些常见的缺陷，开发人员应该考虑以下几点：

对于信息泄露，在编写代码时依靠安全编码最佳实践并实施安全测试程序。

为防止CRLF注入，不要相信用户输入，使用正确的验证和编码清理用户提供的数据，并确保在HTTP标头中正确编码输出。

可以通过良好的安全编码实践来防止加密漏洞。此外，大多数主要语言本质上都支持良好的加密实践，并且对不正确实现的担忧通常只会在个案的基础上出现。

通过使用一致的编码模式、在您的SDLC中自动进行安全测试并通过有效的培训保持最新状态，来防止代码质量不佳问题。

值得注意的是，这四个缺陷年复一年地一直排在报告的前10名，表明开发人员在意识和培训方面存在差距。事实上，对开发人员的安全培训可能是最大的挑战。大学不仅没有定期教授安全编码，而且在职培训也同样难以获得，因为大多数应用程序安全都由安全团队负责。为了使开发人员能够预防、查找和修复代码中的缺陷，组织需要提供可操作的、真实的培训，开发人员可以立即应用这些培训来加强他们所学的知识，并使其成为日常工作的一部分。