软件行业不再发挥作用。仅去年一年,就发布了超过 28,000 个新 CVE,这一创纪录的增长完美地说明了安全和开发团队面临的持续修补危机,他们持续承受着修补漏洞或风险暴露的压力。在过去 12 个月中,软件漏洞导致超过 50% 的组织遭遇 8 次或更多违规行为。同一项调查发现,只有 11% 的人认为他们及时有效地修补了补丁。这种困境是软件行业过于乐意向最终用户发布不安全的应用程序造成的。软件供应商长期以来一直优先考虑上市速度,安全性成为通过更新和补丁解决的事后想法,我们不能再接受它。
安全领导者、监管机构和行业本身必须接受更高的安全标准,从一开始就要求软件供应商和开发人员遵守更高的安全标准,真正拥抱安全设计原则,更清晰地披露和更快地修复漏洞,以及更定期和更快速地修复漏洞。即使在发布之后,也要对应用程序进行严格的安全测试。
那么,这是谁的责任呢?
众所周知的安全技能差距使这场危机长期存在。事实上,47% 的组织将修复生产中漏洞的挑战归咎于缺乏合格人员,这表明即使在软件开发生命周期 (SDLC) 内,也存在不公平的安全负担。然而,在大型组织中,资源不应该成为安全标准差的公认解释。安全预算紧张且团队规模较小的最终用户永远不必承担他们已付费并期望值得信赖的解决方案的安全缺陷。
但积极竞争从有限的安全专业人才库中获取人才并不是唯一的解决方案:各地的左移和转移运动长期以来一直强调安全技能在整个 SLDC 中的重要性,甚至在开发团队内部也是如此。
随着许多开发人员现在转向人工智能代码来进一步提高效率,他们还必须具备安全编码知识来彻底评估输出的安全风险,这一点至关重要。对于大型软件供应商来说,培养开发人员的安全技能是减少生产中漏洞数量的关键方法,同时表现出对提高其发布的应用程序安全性的真正承诺。
超越勾选框
在所有软件供应商中培养以安全为中心的思维对于克服当今的补丁危机至关重要。安全和开发团队之间经常存在脱节,安全目标往往与竞争成功相矛盾。推动共同责任的文化将有助于在 SDLC 的所有部门和阶段建立问责制,而不会惩罚那些优先考虑安全性而不是上市速度的组织。
训练有素、知识渊博的开发团队和项目经理是这一变革的基础。不幸的现实是,许多组织并未将开发人员的安全培训视为优先事项,68% 的组织仅出于合规性或发生漏洞时提供安全编码培训。比以往更快地创建代码的冲动通常意味着开发人员的日程安排无法考虑哪怕是小型的安全编码培训,因此组织仅在必要时进行培训。检查合规性很容易,但它并不能建立以安全为中心的文化,从而为安全代码培训课程中的自满、监督和保留率低打开了大门。
整个行业培训的普及度、频率和质量严重缺乏。软件供应商需要明白,软件安全是其客户关注的中心问题,这证明了持续培训和分配时间进行严格的代码审查是合理的。
积极主动永远是答案
构建全面且主动的软件安全方法可以帮助组织在软件供应商失败时减轻安全风险。大约 55% 的安全领导者表示,开发、合规性和安全团队之间的不一致会导致修补延迟。在大型科技公司中,这种失调现象更加严重。通过采取基于风险优先级评估和响应 CVE 的主动方法,组织可以通过明确的修补协议重新调整其团队。
在反应性方法不再足够的威胁环境中,投资于教育和检测至关重要。在开发内部应用程序或配置时,开发人员应该能够嗅出任何可能让威胁行为者在其网络中立足的代码。尽管软件供应商有责任发布安全的应用程序,但当软件上传到新的或现有的系统时,许多漏洞是由于错误配置而产生的。内部开发人员必须接受适当的教育和技能,以确保应用程序按照设计进行配置和使用,并定期扫描新漏洞,防止不良行为者利用它们,这一点绝对至关重要。
当前的补丁危机是当今行业快速创新的结果,这本质上并不是一件坏事。但随着客户和监管机构开始期望更高的软件安全标准,组织可以通过在自己的内部团队中采用“设计安全”原则和主动补丁管理策略来帮助自己应对补丁危机。
