隨著軟件已成為現(xiàn)代業(yè)務(wù)的支柱,網(wǎng)絡(luò)攻擊已成為一種永遠(yuǎn)存在的威脅,這使得應(yīng)用程序安全成為確保業(yè)務(wù)連續(xù)性的必要條件。本文研究了四個(gè)常見(jiàn)的軟件安全開(kāi)發(fā)問(wèn)題以及如何解決這些問(wèn)題。
管理和維護(hù)安全軟件的過(guò)程可能會(huì)給尋求盡快交付功能的開(kāi)發(fā)人員帶來(lái)意想不到的障礙。研究表明,59% 的公司現(xiàn)在每天多次、每天一次或每隔幾天部署一次代碼。然而,隨著軟件成為現(xiàn)代企業(yè)的支柱,網(wǎng)絡(luò)攻擊已成為一種永遠(yuǎn)存在的威脅,這使得應(yīng)用程序安全成為確保業(yè)務(wù)連續(xù)性的必要條件。
左移運(yùn)動(dòng)——在開(kāi)發(fā)過(guò)程的早期進(jìn)行安全測(cè)試和修復(fù)缺陷——增加了開(kāi)發(fā)人員在應(yīng)用程序安全方面發(fā)揮作用的需求,但經(jīng)過(guò)安全培訓(xùn)的開(kāi)發(fā)人員仍然存在很大的技能差距。有興趣提高安全知識(shí)的開(kāi)發(fā)人員可以從了解一些常見(jiàn)的 DevSec 問(wèn)題開(kāi)始。
挑戰(zhàn)一:漏洞修復(fù)時(shí)間緩慢
對(duì)于開(kāi)發(fā)人員和安全團(tuán)隊(duì)來(lái)說(shuō),最常見(jiàn)的挑戰(zhàn)之一是安全債務(wù)——代碼中存在很長(zhǎng)時(shí)間的安全漏洞,如舊的信用卡余額,現(xiàn)在解決起來(lái)比引入時(shí)要昂貴得多。為避免增加安全債務(wù),開(kāi)發(fā)人員可以實(shí)施自動(dòng)化掃描和測(cè)試。
自動(dòng)化程度越高越好:在一次年度軟件安全狀況 (SoSS) 報(bào)告中,我們發(fā)現(xiàn)將動(dòng)態(tài)分析 (DAST) 與靜態(tài)分析 (SAST) 結(jié)合使用的組織修復(fù) 50% 的安全漏洞平均快 24.5 天。
更快地查找和修復(fù)新缺陷的另一種方法是更頻繁地掃描。更頻繁的掃描使組織能夠以 22.5 天的速度到達(dá)中間點(diǎn),并且通過(guò) API 運(yùn)行 SAST 掃描將修復(fù) 50% 的缺陷的時(shí)間縮短了 17.5 天。
研究還表明,穩(wěn)定的掃描節(jié)奏可以幫助您的團(tuán)隊(duì)看到缺陷類型比例的有意義的變化,并隨著時(shí)間的推移減少安全債務(wù)。將安全測(cè)試視為馬拉松,而不是短跑:在賽事前一周只跑 50 英里并不能為馬拉松做好準(zhǔn)備。
挑戰(zhàn)二:常見(jiàn)代碼安全漏洞的引入
了解哪些缺陷對(duì)您的應(yīng)用程序構(gòu)成最大風(fēng)險(xiǎn)以及它們是如何引入的,對(duì)于防止這些常見(jiàn)缺陷導(dǎo)致的破壞性網(wǎng)絡(luò)攻擊至關(guān)重要。我們的 SoSS 報(bào)告發(fā)現(xiàn),信息泄露 (65.9%)、CRLF 注入 (65.4%)、密碼問(wèn)題 (63.7%) 和代碼質(zhì)量 (60.4%) 是應(yīng)用程序中最常見(jiàn)的缺陷。為了解決這些常見(jiàn)的缺陷,開(kāi)發(fā)人員應(yīng)該考慮以下幾點(diǎn):
對(duì)于信息泄露,在編寫(xiě)代碼時(shí)依靠安全編碼最佳實(shí)踐并實(shí)施安全測(cè)試程序。
為防止 CRLF 注入,不要相信用戶輸入,使用正確的驗(yàn)證和編碼清理用戶提供的數(shù)據(jù),并確保在 HTTP 標(biāo)頭中正確編碼輸出。
可以通過(guò)良好的安全編碼實(shí)踐來(lái)防止加密漏洞。此外,大多數(shù)主要語(yǔ)言本質(zhì)上都支持良好的加密實(shí)踐,并且對(duì)不正確實(shí)現(xiàn)的擔(dān)憂通常只會(huì)在個(gè)案的基礎(chǔ)上出現(xiàn)。
通過(guò)使用一致的編碼模式、在您的 SDLC 中自動(dòng)進(jìn)行安全測(cè)試并通過(guò)有效的培訓(xùn)保持最新?tīng)顟B(tài),來(lái)防止代碼質(zhì)量不佳問(wèn)題。
值得注意的是,這四個(gè)缺陷年復(fù)一年地一直排在報(bào)告的前 10 名,表明開(kāi)發(fā)人員在意識(shí)和培訓(xùn)方面存在差距。事實(shí)上,對(duì)開(kāi)發(fā)人員的安全培訓(xùn)可能是最大的挑戰(zhàn)。大學(xué)不僅沒(méi)有定期教授安全編碼,而且在職培訓(xùn)也同樣難以獲得,因?yàn)榇蠖鄶?shù)應(yīng)用程序安全都由安全團(tuán)隊(duì)負(fù)責(zé)。為了使開(kāi)發(fā)人員能夠預(yù)防、查找和修復(fù)代碼中的缺陷,組織需要提供可操作的、真實(shí)的培訓(xùn),開(kāi)發(fā)人員可以立即應(yīng)用這些培訓(xùn)來(lái)加強(qiáng)他們所學(xué)的知識(shí),并使其成為日常工作的一部分。
挑戰(zhàn)三:依賴開(kāi)源庫(kù),但只掃描內(nèi)部編寫(xiě)的應(yīng)用程序代碼
開(kāi)源代碼幾乎無(wú)處不在。當(dāng)您考慮到許多開(kāi)源庫(kù)不是由開(kāi)發(fā)人員直接選擇時(shí)——應(yīng)用程序中 46.6% 的不安全開(kāi)源庫(kù)是可傳遞的,由另一個(gè)正在使用的庫(kù)引入應(yīng)用程序——很容易理解開(kāi)源代碼如何擴(kuò)展攻擊面在應(yīng)用程序中。事實(shí)上,我們的研究發(fā)現(xiàn),71% 的應(yīng)用程序在初始掃描時(shí)在開(kāi)源庫(kù)中存在缺陷。
集成軟件組合分析 (SCA) 等掃描工具可以幫助更準(zhǔn)確地檢測(cè)開(kāi)源漏洞。由于 74% 的開(kāi)源缺陷可以通過(guò)補(bǔ)丁、修訂或主要/次要版本更新來(lái)修復(fù),因此該過(guò)程可以有效緩解。
使用正確的工具來(lái)掌握代碼是降低風(fēng)險(xiǎn)和確保您可以自信地使用開(kāi)源庫(kù)的關(guān)鍵。
挑戰(zhàn)四:代碼中高危和非常高嚴(yán)重性缺陷的過(guò)剩
無(wú)論您喜歡哪種軟件語(yǔ)言,了解對(duì)它們影響最大的缺陷都將幫助您在錯(cuò)誤成為更大問(wèn)題之前防止錯(cuò)誤。我們的數(shù)據(jù)顯示,某些語(yǔ)言比其他語(yǔ)言具有更多的高風(fēng)險(xiǎn)缺陷,這意味著應(yīng)該仔細(xì)設(shè)計(jì)和測(cè)試用特定語(yǔ)言編寫(xiě)的代碼。一些例子包括:
- C++ 應(yīng)用程序:近 60% 的應(yīng)用程序存在高度和非常高的嚴(yán)重性缺陷;常見(jiàn)缺陷包括錯(cuò)誤處理、緩沖區(qū)管理錯(cuò)誤、數(shù)字錯(cuò)誤和目錄遍歷缺陷。
- PHP 應(yīng)用程序: 52.6% 的 PHP 應(yīng)用程序存在高度和非常高的嚴(yán)重性缺陷;最常見(jiàn)的缺陷包括跨站點(diǎn)腳本 (XSS)、加密問(wèn)題、目錄遍歷錯(cuò)誤和信息泄漏漏洞。
- Java 應(yīng)用: Java 以 CRLF 注入缺陷、代碼質(zhì)量問(wèn)題、信息泄漏和密碼問(wèn)題領(lǐng)先;Java 應(yīng)用程序 97% 是第三方代碼,并帶有更大的看不見(jiàn)的風(fēng)險(xiǎn)。
通過(guò)檢查各種常見(jiàn)語(yǔ)言的缺陷頻率趨勢(shì),開(kāi)發(fā)人員可以更好地了解他們?cè)诰幋a時(shí)面臨的日常風(fēng)險(xiǎn),并可以使用這些知識(shí)在這些缺陷成為問(wèn)題之前提前解決。
實(shí)施安全編碼實(shí)踐并利用實(shí)踐培訓(xùn)來(lái)增加專業(yè)知識(shí)將有助于確保應(yīng)用程序的安全性能夠跟上現(xiàn)代開(kāi)發(fā)需求。當(dāng)開(kāi)發(fā)人員不僅能夠發(fā)現(xiàn),而且能夠修復(fù)他們的代碼中的缺陷時(shí),他們將在成為更精通安全的開(kāi)發(fā)人員的道路上走得很好。
