隨著組織轉向云優先方法，云原生應用程序開發的挑戰可能正在減緩開發周期。根據Tigera 4 月份的一項調查，隨著這種轉變，需要更高的安全能力。事實上，大多數開發人員將安全性視為云原生開發周期中的最大挑戰。

根據Secure Code Warrior最近的一項研究，開發人員在面臨相互競爭的優先事項時，正在努力為他們的軟件設計安全性。三分之二的參與者承認，他們經常在代碼中留下已知的漏洞和漏洞利用，只有 14% 的參與者將應用程序安全列為重中之重。

這是因為，盡管他們想做正確的事，但“他們的工作環境并不總是讓他們很容易將其作為優先事項，”Secure Code Warrior 聯合創始人兼首席執行官 Pieter Danhieux 在一份聲明中說。

可能的原因包括代碼復雜性增加和開發人員勞動力短缺。公司文化和發展方法，以及缺乏安全技能，也可能有所貢獻。

正如 Secure Code Warrior 研究所說，“許多組織仍在采用傳統的軟件開發方法，同時應對不斷變化的網絡安全風險和需求。”

然而，安全團隊知道 DevSecOps，或者至少是 DevOps，在軟件開發開始時強調安全考慮的方法是至關重要的。根據 Secure Code Warrior 的說法，如果做得好，安全方面的開發人員可以“通過減少導致返工的漏洞、保持軟件發布速度并在不影響創新的情況下確保代碼質量來提高生產力”。

盡管 41% 的開發人員表示功能和安全性在他們的組織中同樣重要，但他們也表示，新特性和功能、應用程序性能和按時完成比安全性更重要，是管理層的首要任務。

“我們的研究表明，開發人員實際上非常關注返工，而不一定是新功能，或者以安全的方式創建新功能，”Secure Code Warrior 的首席技術官 Matias Madou 告訴 EE Times。“他們的最終客戶需要新功能，并認為質量是給定的。因此，開發人員專注于讓產品更好、更快、更流暢，而不是將安全作為重中之重。”

您的代碼中有哪些漏洞？向左移動安全代碼并非易事

阻礙在開發周期早期集成安全代碼的三大障礙——向左移動——是缺乏時間、計劃和優先級。

缺乏時間可能與勞動力短缺直接相關。“永遠不會有足夠的人來確保安全，”麻豆說。“對于軟件安全，打破這種模式的唯一方法是確保開發人員成為安全故事的一部分。”

Jon Jarboe

Cycode 的產品營銷總監 Jon Jarboe 告訴 EE Times，開發人員和安全團隊都從管理層那里獲得了他們的優先事項和方向。

“這份報告揭示的一件事是它們經常不一致：安全團隊的優先級可能與開發團隊的優先級不一致。因此，開發人員可能被迫在開發目標和安全性之間做出選擇。”

近三分之二的受訪者表示很難編寫沒有漏洞的安全代碼。工具和培訓最常被認為是整個開發生命周期中最重要的安全需求。

但Jarboe 說，安全工具通常是為安全團隊設計的，而不是為開發人員設計的，因此它們可能更具破壞性而不是有用。“這些安全工具也必須為開發人員設計。大多數安全公司現在可能正在解決這個問題，但他們在這方面的進展或成功程度各不相同。”

在開發過程中使用工具的地方也很重要。在產品發布之前運行測試工具不會有足夠的時間來解決所有問題。Jarboe 解釋說，安全工具的使用方式以及它們在開發中的使用位置必須改變。

該報告還指出，開發人員表示，他們的公司依賴于現有或預先批準的安全代碼和工具，這些代碼和工具只能解決已知漏洞，而不是使用所需的技能來編寫新的、無漏洞的代碼。

向左轉移安全代碼的主要障礙。

代碼、開發環境變得越來越復雜

麻豆說，代碼和開發環境的日益復雜絕對是一個問題。

“如果你問開發人員在做什么，那就是代碼質量和讓事情變得更簡單，”他說。“他們在編寫代碼時列出的首要任務是代碼質量和技術債務減少，同樣的數字表示他們的首要任務是應用程序性能。”

環境復雜性的增加部分是由于開發人員繼續在新舊語言和環境中工作。例如，Secure Code Warrior 提供 60 種不同語言和框架的培訓。

“隨著應用程序向微服務轉移，軟件復雜性肯定會隨著向云原生的轉變而增長，”Jarboe 說。“這些現在由不同的團隊開發，他們必須相互溝通并與安全團隊溝通，這可能很困難，并增加了公司內部的復雜性。”

所有這些都給公司文化帶來了壓力。“因此，要取得成功，組織的文化必須改變一直以來的做事方式，”Jarboe 說。

然而，這些變化現在特別困難，因為開發人員必須應對所有并行轉換，包括 DevOps 和敏捷運動，以及大流行。

可以提供幫助的一件事是自動安全網或護欄。“沒有[這些]，開發人員無法始終以他們需要的速度解決問題，以滿足最后期限，”Jarboe 說。“但如果你有自動測試來告訴你代碼何時被破壞，你就可以專注于修復問題，而不是擔心破壞問題。”

培訓和技能提升的需要

開發人員對是否需要更多培訓給出了相互矛盾的回應。雖然大多數人認為他們之前的安全代碼培訓良好或優秀，但 92% 的受訪者表示他們團隊中的其他人需要更多的安全框架培訓。

盡管仍然存在包含漏洞的代碼，但 81% 的人表示他們會定期在工作中進行安全培訓。然而，只有 43% 的人表示培訓與他們的工作高度相關，超過一半的人表示不熟悉常見的軟件漏洞、如何利用這些漏洞以及避免這些漏洞的方法。

“組織并不總是給開發人員時間來提高自己的技能，”麻豆說。“項目的最后期限通常是昨天，因此他們必須開發新的特性和功能，而不考慮安全性，而只關注組織的短期目標。”

從代碼中創建漏洞到發現漏洞平均需要大約兩年時間。因此，以軟件安全為目標的組織必須提前數年進行規劃，麻豆解釋說。“他們還必須考慮新員工的技能和培訓。”

通常，開發人員無法明確說明安全編碼的實際含義。這是因為大學課程中很少有關于如何創建安全代碼的課程。

“為什么要提高自己的編碼水平？因為在開發周期開始時你會犯錯誤，每個人都會犯錯，”麻豆說。“只有在周期結束時，您才會意識到您的代碼具有安全影響并且可能被濫用。因此，如果您學習如何編寫安全代碼，您將被視為優秀的開發人員。在報告中，大多數經理表示他們在雇用新開發人員時需要安全技能。”

審核編輯 黃昊宇