在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

相互競(jìng)爭(zhēng)的優(yōu)先事項(xiàng)使得開發(fā)人員難以保護(hù)代碼

王鵬 ? 來(lái)源:K_Ming ? 作者:K_Ming ? 2022-07-14 15:52 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

隨著組織轉(zhuǎn)向云優(yōu)先方法,云原生應(yīng)用程序開發(fā)的挑戰(zhàn)可能正在減緩開發(fā)周期。根據(jù)Tigera 4 月份的一項(xiàng)調(diào)查,隨著這種轉(zhuǎn)變,需要更高的安全能力。事實(shí)上,大多數(shù)開發(fā)人員將安全性視為云原生開發(fā)周期中的最大挑戰(zhàn)。

根據(jù)Secure Code Warrior最近的一項(xiàng)研究,開發(fā)人員在面臨相互競(jìng)爭(zhēng)的優(yōu)先事項(xiàng)時(shí),正在努力為他們的軟件設(shè)計(jì)安全性。三分之二的參與者承認(rèn),他們經(jīng)常在代碼中留下已知的漏洞和漏洞利用,只有 14% 的參與者將應(yīng)用程序安全列為重中之重。

這是因?yàn)椋M管他們想做正確的事,但“他們的工作環(huán)境并不總是讓他們很容易將其作為優(yōu)先事項(xiàng),”Secure Code Warrior 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Pieter Danhieux 在一份聲明中說(shuō)。

可能的原因包括代碼復(fù)雜性增加和開發(fā)人員勞動(dòng)力短缺。公司文化和發(fā)展方法,以及缺乏安全技能,也可能有所貢獻(xiàn)。

正如 Secure Code Warrior 研究所說(shuō),“許多組織仍在采用傳統(tǒng)的軟件開發(fā)方法,同時(shí)應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和需求。”

然而,安全團(tuán)隊(duì)知道 DevSecOps,或者至少是 DevOps,在軟件開發(fā)開始時(shí)強(qiáng)調(diào)安全考慮的方法是至關(guān)重要的。根據(jù) Secure Code Warrior 的說(shuō)法,如果做得好,安全方面的開發(fā)人員可以“通過(guò)減少導(dǎo)致返工的漏洞、保持軟件發(fā)布速度并在不影響創(chuàng)新的情況下確保代碼質(zhì)量來(lái)提高生產(chǎn)力”。

盡管 41% 的開發(fā)人員表示功能和安全性在他們的組織中同樣重要,但他們也表示,新特性和功能、應(yīng)用程序性能和按時(shí)完成比安全性更重要,是管理層的首要任務(wù)。

“我們的研究表明,開發(fā)人員實(shí)際上非常關(guān)注返工,而不一定是新功能,或者以安全的方式創(chuàng)建新功能,”Secure Code Warrior 的首席技術(shù)官 Matias Madou 告訴 EE Times。“他們的最終客戶需要新功能,并認(rèn)為質(zhì)量是給定的。因此,開發(fā)人員專注于讓產(chǎn)品更好、更快、更流暢,而不是將安全作為重中之重。”

您的代碼中有哪些漏洞?向左移動(dòng)安全代碼并非易事

阻礙在開發(fā)周期早期集成安全代碼的三大障礙——向左移動(dòng)——是缺乏時(shí)間、計(jì)劃和優(yōu)先級(jí)。

缺乏時(shí)間可能與勞動(dòng)力短缺直接相關(guān)。“永遠(yuǎn)不會(huì)有足夠的人來(lái)確保安全,”麻豆說(shuō)。“對(duì)于軟件安全,打破這種模式的唯一方法是確保開發(fā)人員成為安全故事的一部分。”

Jon Jarboe

Cycode 的產(chǎn)品營(yíng)銷總監(jiān) Jon Jarboe 告訴 EE Times,開發(fā)人員和安全團(tuán)隊(duì)都從管理層那里獲得了他們的優(yōu)先事項(xiàng)和方向。

“這份報(bào)告揭示的一件事是它們經(jīng)常不一致:安全團(tuán)隊(duì)的優(yōu)先級(jí)可能與開發(fā)團(tuán)隊(duì)的優(yōu)先級(jí)不一致。因此,開發(fā)人員可能被迫在開發(fā)目標(biāo)和安全性之間做出選擇。”

近三分之二的受訪者表示很難編寫沒(méi)有漏洞的安全代碼。工具和培訓(xùn)最常被認(rèn)為是整個(gè)開發(fā)生命周期中最重要的安全需求。

但Jarboe 說(shuō),安全工具通常是為安全團(tuán)隊(duì)設(shè)計(jì)的,而不是為開發(fā)人員設(shè)計(jì)的,因此它們可能更具破壞性而不是有用。“這些安全工具也必須為開發(fā)人員設(shè)計(jì)。大多數(shù)安全公司現(xiàn)在可能正在解決這個(gè)問(wèn)題,但他們?cè)谶@方面的進(jìn)展或成功程度各不相同。”

在開發(fā)過(guò)程中使用工具的地方也很重要。在產(chǎn)品發(fā)布之前運(yùn)行測(cè)試工具不會(huì)有足夠的時(shí)間來(lái)解決所有問(wèn)題。Jarboe 解釋說(shuō),安全工具的使用方式以及它們?cè)陂_發(fā)中的使用位置必須改變。

該報(bào)告還指出,開發(fā)人員表示,他們的公司依賴于現(xiàn)有或預(yù)先批準(zhǔn)的安全代碼和工具,這些代碼和工具只能解決已知漏洞,而不是使用所需的技能來(lái)編寫新的、無(wú)漏洞的代碼。

poYBAGLOk6WAUpmTAAXw7tA2xpw995.jpg


向左轉(zhuǎn)移安全代碼的主要障礙。

代碼、開發(fā)環(huán)境變得越來(lái)越復(fù)雜

麻豆說(shuō),代碼和開發(fā)環(huán)境的日益復(fù)雜絕對(duì)是一個(gè)問(wèn)題。

“如果你問(wèn)開發(fā)人員在做什么,那就是代碼質(zhì)量和讓事情變得更簡(jiǎn)單,”他說(shuō)。“他們?cè)诰帉懘a時(shí)列出的首要任務(wù)是代碼質(zhì)量和技術(shù)債務(wù)減少,同樣的數(shù)字表示他們的首要任務(wù)是應(yīng)用程序性能。”

環(huán)境復(fù)雜性的增加部分是由于開發(fā)人員繼續(xù)在新舊語(yǔ)言和環(huán)境中工作。例如,Secure Code Warrior 提供 60 種不同語(yǔ)言和框架的培訓(xùn)。

“隨著應(yīng)用程序向微服務(wù)轉(zhuǎn)移,軟件復(fù)雜性肯定會(huì)隨著向云原生的轉(zhuǎn)變而增長(zhǎng),”Jarboe 說(shuō)。“這些現(xiàn)在由不同的團(tuán)隊(duì)開發(fā),他們必須相互溝通并與安全團(tuán)隊(duì)溝通,這可能很困難,并增加了公司內(nèi)部的復(fù)雜性。”

所有這些都給公司文化帶來(lái)了壓力。“因此,要取得成功,組織的文化必須改變一直以來(lái)的做事方式,”Jarboe 說(shuō)。

然而,這些變化現(xiàn)在特別困難,因?yàn)殚_發(fā)人員必須應(yīng)對(duì)所有并行轉(zhuǎn)換,包括 DevOps 和敏捷運(yùn)動(dòng),以及大流行。

可以提供幫助的一件事是自動(dòng)安全網(wǎng)或護(hù)欄。“沒(méi)有[這些],開發(fā)人員無(wú)法始終以他們需要的速度解決問(wèn)題,以滿足最后期限,”Jarboe 說(shuō)。“但如果你有自動(dòng)測(cè)試來(lái)告訴你代碼何時(shí)被破壞,你就可以專注于修復(fù)問(wèn)題,而不是擔(dān)心破壞問(wèn)題。”

培訓(xùn)和技能提升的需要

開發(fā)人員對(duì)是否需要更多培訓(xùn)給出了相互矛盾的回應(yīng)。雖然大多數(shù)人認(rèn)為他們之前的安全代碼培訓(xùn)良好或優(yōu)秀,但 92% 的受訪者表示他們團(tuán)隊(duì)中的其他人需要更多的安全框架培訓(xùn)。

盡管仍然存在包含漏洞的代碼,但 81% 的人表示他們會(huì)定期在工作中進(jìn)行安全培訓(xùn)。然而,只有 43% 的人表示培訓(xùn)與他們的工作高度相關(guān),超過(guò)一半的人表示不熟悉常見(jiàn)的軟件漏洞、如何利用這些漏洞以及避免這些漏洞的方法。

“組織并不總是給開發(fā)人員時(shí)間來(lái)提高自己的技能,”麻豆說(shuō)。“項(xiàng)目的最后期限通常是昨天,因此他們必須開發(fā)新的特性和功能,而不考慮安全性,而只關(guān)注組織的短期目標(biāo)。”

從代碼中創(chuàng)建漏洞到發(fā)現(xiàn)漏洞平均需要大約兩年時(shí)間。因此,以軟件安全為目標(biāo)的組織必須提前數(shù)年進(jìn)行規(guī)劃,麻豆解釋說(shuō)。“他們還必須考慮新員工的技能和培訓(xùn)。”

通常,開發(fā)人員無(wú)法明確說(shuō)明安全編碼的實(shí)際含義。這是因?yàn)榇髮W(xué)課程中很少有關(guān)于如何創(chuàng)建安全代碼的課程。

“為什么要提高自己的編碼水平?因?yàn)樵陂_發(fā)周期開始時(shí)你會(huì)犯錯(cuò)誤,每個(gè)人都會(huì)犯錯(cuò),”麻豆說(shuō)。“只有在周期結(jié)束時(shí),您才會(huì)意識(shí)到您的代碼具有安全影響并且可能被濫用。因此,如果您學(xué)習(xí)如何編寫安全代碼,您將被視為優(yōu)秀的開發(fā)人員。在報(bào)告中,大多數(shù)經(jīng)理表示他們?cè)诠陀眯麻_發(fā)人員時(shí)需要安全技能。”


審核編輯 黃昊宇

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 代碼
    +關(guān)注

    關(guān)注

    30

    文章

    4899

    瀏覽量

    70599
  • 開發(fā)人員
    +關(guān)注

    關(guān)注

    0

    文章

    19

    瀏覽量

    6776
收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評(píng)論

    相關(guān)推薦
    熱點(diǎn)推薦

    如何在恩智浦FRDM開發(fā)平臺(tái)上實(shí)現(xiàn)代碼的高效復(fù)用

    從零開始評(píng)估微控制器可能充滿挑戰(zhàn)。即使在編寫代碼之前,開發(fā)人員也需要深入了解想要使用的外設(shè)的特性。它們是否能夠在不同產(chǎn)品間以一致方式運(yùn)行?這些所謂的可移植性究竟有多可靠?面對(duì)這些不確定性,創(chuàng)建真正可移植的代碼似乎是一項(xiàng)艱巨的任務(wù)
    的頭像 發(fā)表于 05-27 14:35 ?352次閱讀
    如何在恩智浦FRDM<b class='flag-5'>開發(fā)</b>平臺(tái)上實(shí)現(xiàn)<b class='flag-5'>代碼</b>的高效復(fù)用

    Thingy:91 X 為開發(fā)人員提供了一個(gè)經(jīng)過(guò)全球認(rèn)證的、多傳感器、電池供電的蜂窩物聯(lián)網(wǎng)原型平臺(tái)

    Thingy:91 X 為開發(fā)人員提供了一個(gè)經(jīng)過(guò)全球認(rèn)證的、多傳感器、電池供電的蜂窩物聯(lián)網(wǎng)原型平臺(tái) 挪威奧斯陸 – 2024年12月10日 – 全球領(lǐng)先的低功耗無(wú)線連接解決方案提供商N(yùn)ordic
    的頭像 發(fā)表于 05-08 17:41 ?852次閱讀

    適用于Versal的AMD Vivado 加快FPGA開發(fā)完成Versal自適應(yīng)SoC設(shè)計(jì)

    設(shè)計(jì)、編譯、交付,輕松搞定。更快更高效。 Vivado 設(shè)計(jì)套件提供經(jīng)過(guò)優(yōu)化的設(shè)計(jì)流程,讓傳統(tǒng) FPGA 開發(fā)人員能夠加快完成 Versal 自適應(yīng) SoC 設(shè)計(jì)。 面向硬件開發(fā)人員的精簡(jiǎn)設(shè)計(jì)流程
    的頭像 發(fā)表于 05-07 15:15 ?560次閱讀
    適用于Versal的AMD Vivado  加快FPGA<b class='flag-5'>開發(fā)</b>完成Versal自適應(yīng)SoC設(shè)計(jì)

    Java開發(fā)者必備的效率工具——Perforce JRebel是什么?為什么很多Java開發(fā)者在用?

    Perforce JRebel是一款Java開發(fā)效率工具,旨在幫助java開發(fā)人員更快地編寫更好的應(yīng)用程序。JRebel可即時(shí)重新加載對(duì)代碼的修改,無(wú)需重啟或重新部署應(yīng)用程序,就能讓開發(fā)
    的頭像 發(fā)表于 04-27 13:44 ?251次閱讀
    Java<b class='flag-5'>開發(fā)</b>者必備的效率工具——Perforce JRebel是什么?為什么很多Java<b class='flag-5'>開發(fā)</b>者在用?

    NanoEdge AI Studio 面向STM32開發(fā)人員機(jī)器學(xué)習(xí)(ML)技術(shù)

    NanoEdge? AI Studio*(NanoEdgeAIStudio)是一種新型機(jī)器學(xué)習(xí)(ML)技術(shù),可以讓終端用戶輕松享有真正的創(chuàng)新成果。只需幾步,開發(fā)人員便可基于最少量的數(shù)據(jù)為其項(xiàng)目創(chuàng)建
    的頭像 發(fā)表于 04-22 11:09 ?566次閱讀
    NanoEdge AI Studio 面向STM32<b class='flag-5'>開發(fā)人員</b>機(jī)器學(xué)習(xí)(ML)技術(shù)

    使用Tracealyzer調(diào)試Zephyr中的優(yōu)先級(jí)反轉(zhuǎn)

    Percepio Tracealyzer已經(jīng)在600多個(gè)支持Zephyr的開發(fā)板上完成了驗(yàn)證,可以幫助開發(fā)人員改進(jìn)Zephyr應(yīng)用的調(diào)試和性能分析。
    的頭像 發(fā)表于 04-21 11:31 ?619次閱讀
    使用Tracealyzer調(diào)試Zephyr中的<b class='flag-5'>優(yōu)先</b>級(jí)反轉(zhuǎn)

    基于RV1126開發(fā)板的人員檢測(cè)算法開發(fā)

    在RV1126上開發(fā)人員檢測(cè)AI算法組件
    的頭像 發(fā)表于 04-14 13:56 ?301次閱讀
    基于RV1126<b class='flag-5'>開發(fā)</b>板的<b class='flag-5'>人員</b>檢測(cè)算法<b class='flag-5'>開發(fā)</b>

    安波福攜手風(fēng)河助力開發(fā)人員開展測(cè)試左移

    隨著汽車智能化程度不斷提升,一輛智能汽車的軟件代碼量動(dòng)輒上千萬(wàn)行,涵蓋基本的信息娛樂(lè)、車身控制,到關(guān)鍵性安全功能(如駕駛輔助系統(tǒng)、自動(dòng)駕駛系統(tǒng))等核心功能。即便到了量產(chǎn)前夕,軟件仍需頻繁更新,這對(duì)開發(fā)速度和質(zhì)量提出了極高要求,很可能會(huì)延誤產(chǎn)品的上市。
    的頭像 發(fā)表于 03-17 15:34 ?331次閱讀

    GoPoint嵌入式開發(fā)平臺(tái) 釋放i.MX潛力 簡(jiǎn)化Linux開發(fā)

    GoPoint是一個(gè)以用戶為中心的平臺(tái),旨在釋放恩智浦i.MX微處理器的潛力,從而優(yōu)化基于i.MX應(yīng)用處理器的開發(fā)。憑借豐富的交互式演示庫(kù)和強(qiáng)大的技術(shù)支持,GoPoint幫助開發(fā)人員更快、更智能
    發(fā)表于 02-28 10:07 ?615次閱讀
    GoPoint嵌入式<b class='flag-5'>開發(fā)</b>平臺(tái) 釋放i.MX潛力 簡(jiǎn)化Linux<b class='flag-5'>開發(fā)</b>

    QNX發(fā)布創(chuàng)新汽車軟件解決方案QNX Cabin

    Cabin通過(guò)云端開發(fā)模式,使架構(gòu)師和開發(fā)人員能夠在云端環(huán)境中進(jìn)行代碼的設(shè)計(jì)、測(cè)試和優(yōu)化工作。這一“左移開發(fā)”策略極大地提升了開發(fā)效率,
    的頭像 發(fā)表于 01-10 13:50 ?515次閱讀

    代碼在敏捷開發(fā)中的應(yīng)用

    代碼平臺(tái)的定義 低代碼平臺(tái)提供了一個(gè)可視化的、拖放式的用戶界面,允許開發(fā)者通過(guò)圖形化的方式快速構(gòu)建應(yīng)用程序,而無(wú)需編寫大量的代碼。這些平臺(tái)通常包括預(yù)構(gòu)建的模板、組件和邏輯模塊,
    的頭像 發(fā)表于 01-07 09:58 ?439次閱讀

    Wine開發(fā)系列——如何使用Wine日志調(diào)試問(wèn)題

    助于快速理解代碼的執(zhí)行流程和功能。在大型項(xiàng)目中,通常會(huì)先實(shí)現(xiàn)一套自己的調(diào)試日志框架,主要有兩個(gè)目的: 統(tǒng)一日志風(fēng)格和存儲(chǔ):確保日志格式一致,并且有統(tǒng)一的存儲(chǔ)方式,這有助于用戶更容易地報(bào)告問(wèn)題。 方便開發(fā)人員開發(fā)人員
    的頭像 發(fā)表于 01-06 11:29 ?980次閱讀

    MSPDebugStack開發(fā)人員指南

    電子發(fā)燒友網(wǎng)站提供《MSPDebugStack開發(fā)人員指南.pdf》資料免費(fèi)下載
    發(fā)表于 12-05 14:49 ?0次下載
    MSPDebugStack<b class='flag-5'>開發(fā)人員</b>指南

    汽車異構(gòu)硬件平臺(tái)開發(fā)如何進(jìn)行靜態(tài)代碼分析

    先進(jìn)的靜態(tài)代碼分析工具,其新版本中引入的多CCT功能為開發(fā)人員提供了強(qiáng)大的支持,該功能不僅簡(jiǎn)化了多編譯器環(huán)境下的代碼分析過(guò)程,還可以極大增強(qiáng)代碼的質(zhì)量和安全性。
    的頭像 發(fā)表于 10-09 16:15 ?854次閱讀
    汽車異構(gòu)硬件平臺(tái)<b class='flag-5'>開發(fā)</b>如何進(jìn)行靜態(tài)<b class='flag-5'>代碼</b>分析

    C2000 ePWM開發(fā)人員指南

    電子發(fā)燒友網(wǎng)站提供《C2000 ePWM開發(fā)人員指南.pdf》資料免費(fèi)下載
    發(fā)表于 09-07 09:45 ?0次下載
    C2000 ePWM<b class='flag-5'>開發(fā)人員</b>指南
    主站蜘蛛池模板: 色综合激情网 | 国产视频资源 | 成熟女人免费一级毛片 | 久久这里只有精品免费视频 | 中文字幕佐山爱一区二区免费 | 五月天婷婷综合网 | 成人丁香婷婷 | www.色午夜.com| 亚洲另类激情综合偷自拍 | 天天干天天日天天射天天操毛片 | 精品国产欧美一区二区最新 | 午夜影视啪啪免费体验区入口 | 在线观看视频免费 | 青草青视频在线观看 | www网站在线观看 | 日本丝瓜着色视频 | 激情综合亚洲 | 国产午夜视频在永久在线观看 | 欧美另类色 | 国产免费人成在线视频视频 | 97色网| 免费爱做网站在线看 | 欧美成人午夜视频 | bt天堂在线www中文在线 | 手机看片福利盒子久久 | 性欧美暴力猛交69hd | 欧美日韩高清一区 | 一区视频在线播放 | 色天使久久综合网天天 | 国产精品9999 | 伊人三级 | 亚洲综合色就色手机在线观看 | 好大好硬好深好爽想要免费视频 | 国产剧情麻豆三级在线观看 | 日本黄页视频 | 色一区二区 | 免费国产小视频 | 国产综合成色在线视频 | 国产日本在线播放 | 久久婷婷丁香七月色综合 | 四虎在线最新地址4hu |