Сегодня разработчики часто оказываются между молотом и наковальней. Бизнес может не ставить безопасность на первое место среди своих приоритетов, но мы все знаем, насколько она жизненно важна - и в современных гибких и DevOps рабочих средах разработчики не могут позволить себе завершить работу над приложениями, а затем оставить наведение порядка команде безопасности.
В новом отчете компании Veracode, опубликованном сегодня, утверждается, что хотя разработчики действительно заботятся о безопасности и становятся лучше в этом плане, еще многое предстоит сделать - в том числе "думать как злоумышленник".
Компания по безопасности приложений в своем последнем руководстве для разработчиков о состоянии безопасности программного обеспечения использовала 400 000 сканирований приложений за 12-месячный период с апреля 2016 по 2017 год. Из этих данных разработчики задокументировали меры по устранению только 14,4% всех дефектов, и из этого числа только 25% были ложными срабатываниями - другими словами, проблемами, которых на самом деле не было, или "игрой системы", как говорится в отчете.
Однако это не означает, что безопасность приложений настолько высока, насколько могла бы быть. При сравнении с 10 лучшими уязвимостями OWASP - нарушение контроля доступа, неправильная конфигурация системы безопасности и т.д. - приложения прошли первое сканирование только в 30% случаев.
Это не особенно отличается от предыдущих показателей; в течение последних пяти отчетов этот показатель постоянно находился на уровне одной трети или ниже. Дефекты SQL-инъекций были обнаружены в 27,6% новых отсканированных приложений в этом году, что ниже, чем ранее, но аналогично последним пяти отчетам, которые составляли 29% и 32,2% соответственно. Тем не менее, в отчете отмечается, что организации с программами AppSec, действующими не менее 10 лет, работают значительно лучше. В сравнении с показателем прохождения OWASP top 10, этот показатель составляет 43%.
Что же можно сделать, чтобы внедрить стратегию AppSec? В отчете предлагается несколько идей. Авторы доклада призывают думать как злоумышленник после того, как обнаружили, что некоторые разработчики "могут отмахиваться от рекомендаций по безопасности, основанных на некоторых необоснованных предположениях о том, как приложения могут быть потенциально атакованы".
"Одним из общих факторов риска, который мы обнаружили в комментариях по смягчению последствий, было то, что некоторые разработчики все еще доверяют вводу данных от пользователей в тревожной степени", - отмечается в отчете. "Хотя 99% легитимных пользователей никогда не введут ничего вредоносного в поле ввода, именно о таком незначительном меньшинстве злоумышленников нам стоит беспокоиться".
Еще один способ совершенствования - переход к среде DevSecOps. Поскольку DevOps требует от организаций более частого тестирования и итераций, DevSecOps требует, чтобы они также увеличили частоту сканирования безопасности. Согласно отчету, из года в год эти показатели постепенно растут. Более трети (36,5%) организаций по-прежнему тестируют только раз в год, что, однако, меньше, чем 38,5% организаций в 2016 году. Доля организаций, которые проводят тестирование ежемесячно, дважды в месяц и еженедельно, увеличилась.
Возможно, самая интересная часть опроса касалась взаимоотношений между разработчиками и специалистами по безопасности. Если они по-прежнему относятся друг к другу в лучшем случае с вооруженным нейтралитетом, а в худшем - с презрением, то это должно измениться, отмечается в отчете. "Если мы когда-нибудь дойдем до того, что преодолеем разрыв между разработчиками и службой безопасности, необходимо изменить отношение обеих сторон", - поясняется в отчете.
"Разработчики, которые рассматривают экспертов по безопасности как внутри компании, так и за ее пределами как ресурс, а не как противника, обычно добиваются больших успехов в снижении рисков в портфелях приложений".
Поделиться
Facebook
Twitter
LinkedIn
Telegram
Tumblr
WhatsApp
VK
Почта