随着软件已经成为现代业务的支柱,网络攻击已经成为一种永恒的威胁,这使得应用程序安全成为确保业务连续性的必要条件。本文研究了四个常见的软件安全开发问题以及如何解决这些问题。
安全软件的管理和维护过程可能会给寻求尽快交付功能的开发人员带来意想不到的障碍。研究表明,59% 的公司现在每天多次、每天或每隔几天部署一次代码。然而,随着软件成为现代企业的支柱,网络攻击已经成为一种永恒的威胁,这使得应用安全成为保证业务连续性的必要条件。
左移运动——在开发过程的早期阶段进行安全测试和修复缺陷——增加了开发人员在应用程序安全中发挥作用的需求,但经过安全培训的开发人员仍存在很大的技能差距。对提高安全知识感兴趣的开发人员可以了解一些常见的 DevSec 问题开始了。
挑战1:漏洞修复时间缓慢
安全债务是开发人员和安全团队最常见的挑战之一——代码中存在长期的安全漏洞,如旧信用卡余额,现在比引入时要贵得多。为了避免增加安全债务,开发人员可以进行自动扫描和测试。
自动化程度越高越好,一年软件安全状况 (SoSS) 在报告中,我们发现动态分析 (DAST) 与静态分析 (SAST) 结合组织修复 50% 平均安全漏洞快24.5 天。
另一种更快地发现和修复新缺陷的方法是更频繁地扫描。更频繁的扫描使组织能够使用 22.5 天速达到中间点,通过 API 运行 SAST 扫描缩短了修复 50% 缺陷的时间17.5 天。
研究还表明,稳定的扫描节奏可以帮助您的团队看到缺陷类型比例的有意义变化,并随着时间的推移减少安全债务。将安全测试视为马拉松,而不是短跑:在赛事前一周只跑50英里。
挑战2:引入常见代码安全漏洞
了解哪些缺陷对您的应用程序构成了最大的风险,以及它们是如何引入的,这对防止这些常见缺陷造成的破坏性网络攻击至关重要。我们的 SoSS 发现信息泄露 (65.9%)、CRLF 注入 (65.4%)、密码问题 (63.7 和代码质量 (60.4 是应用程序中最常见的缺陷。开发人员应考虑以下几点,以解决这些常见缺陷:
对于信息泄露,在编写代码时的最佳实践,实施安全测试程序。
为防止 CRLF 注入,不要相信用户输入,用正确的验证和编码清理用户提供的数据,并确保在 HTTP 标头中正确编码输出。
加密漏洞可以通过良好的安全编码实践来防止。此外,大多数主要语言本质上支持良好的加密实践,对不正确实现的担忧通常只出现在案例的基础上。
在你的 中使用一致的编码模式SDLC 通过有效的培训,自动进行安全测试,保持最新状态,防止代码质量差。
值得注意的是,这四个缺陷年复一年地位居报告前10 ,表明开发人员在意识和培训方面存在差距。事实上,对开发人员的安全培训可能是最大的挑战。大学不仅没有定期教授安全代码,而且在职培训也很难获得,因为大多数应用程序安全都由安全团队负责。为了防止、发现和修复代码中的缺陷,组织需要提供可操作和真实的培训,开发人员可以立即使用这些培训来加强他们的知识,并使其成为日常工作的一部分。
挑战3:依赖开源库,但只扫描内部编写的应用程序代码
开源代码几乎无处不在。当你认为开发人员不直接选择许多开源库时。—— 在应用程序中46.6% 的不安全开源库可以传输,应用程序由另一个正在使用的库引入——在应用程序中,很容易理解开源代码如何扩展攻击面。事实上,我们的研究发现,71% 的应用程序在初始扫描时在开源库中存在缺陷。
集成软件组合分析(SCA) 等扫描工具有助于更准确地检测开源漏洞。由于 74% 的开源缺陷可以通过补丁、修改或主/次要版本更新来修复,因此该过程可以得到有效缓解。
使用正确的工具来掌握代码是降低风险并确保您能够自信地使用开源库的关键。
挑战4:代码中高危和非常严重的缺陷
无论你喜欢哪种软件语言,理解对它们影响最大的缺陷都将帮助你在错误成为更大的问题之前防止错误。我们的数据显示,有些语言比其他语言有更多的高风险缺陷,这意味着应该仔细设计和测试用特定语言编写的代码。一些例子包括:
- C 应用程序:近60% 应用程序存在高度和非常高的严重缺陷;常见缺陷包括错误处理、缓冲区管理错误、数字错误和目录通用缺陷。
- PHP 应用程序: 52.6% 的 PHP 应用程序存在高度和非常高的严重缺陷;最常见的缺陷包括跨站脚本 (XSS)、加密问题、目录错误和信息泄漏漏洞。
- Java 应用: Java 以 CRLF 注入缺陷、代码质量问题、信息泄漏和密码问题领先;Java 97% 是第三方代码,风险更大。
通过检查各种常见语言的缺陷频率趋势,开发人员可以更好地了解编码中的日常风险,并在这些缺陷成为问题之前使用这些知识提前解决。
实施安全编码实践和利用实践培训来增加专业知识将有助于确保应用程序的安全能够跟上现代开发的需要。当开发人员不仅能够发现,而且能够修复他们的代码中的缺陷时,他们将在成为更精通安全的开发人员的道路上做得很好。