fbpx

 

Сегодня разработчики часто оказываются между молотом и наковальней. Бизнес может не ставить безопасность на первое место среди своих приоритетов, но мы все знаем, насколько она жизненно важна - и в современных гибких и DevOps рабочих средах разработчики не могут позволить себе завершить работу над приложениями, а затем оставить наведение порядка команде безопасности.

В новом отчете компании Veracode, опубликованном сегодня, утверждается, что хотя разработчики действительно заботятся о безопасности и становятся лучше в этом плане, еще многое предстоит сделать - в том числе "думать как злоумышленник".

Компания по безопасности приложений в своем последнем руководстве для разработчиков о состоянии безопасности программного обеспечения использовала 400 000 сканирований приложений за 12-месячный период с апреля 2016 по 2017 год. Из этих данных разработчики задокументировали меры по устранению только 14,4% всех дефектов, и из этого числа только 25% были ложными срабатываниями - другими словами, проблемами, которых на самом деле не было, или "игрой системы", как говорится в отчете.

Однако это не означает, что безопасность приложений настолько высока, насколько могла бы быть. При сравнении с 10 лучшими уязвимостями OWASP - нарушение контроля доступа, неправильная конфигурация системы безопасности и т.д. - приложения прошли первое сканирование только в 30% случаев.

Это не особенно отличается от предыдущих показателей; в течение последних пяти отчетов этот показатель постоянно находился на уровне одной трети или ниже. Дефекты SQL-инъекций были обнаружены в 27,6% новых отсканированных приложений в этом году, что ниже, чем ранее, но аналогично последним пяти отчетам, которые составляли 29% и 32,2% соответственно. Тем не менее, в отчете отмечается, что организации с программами AppSec, действующими не менее 10 лет, работают значительно лучше. В сравнении с показателем прохождения OWASP top 10, этот показатель составляет 43%.

Что же можно сделать, чтобы внедрить стратегию AppSec? В отчете предлагается несколько идей. Авторы доклада призывают думать как злоумышленник после того, как обнаружили, что некоторые разработчики "могут отмахиваться от рекомендаций по безопасности, основанных на некоторых необоснованных предположениях о том, как приложения могут быть потенциально атакованы".

"Одним из общих факторов риска, который мы обнаружили в комментариях по смягчению последствий, было то, что некоторые разработчики все еще доверяют вводу данных от пользователей в тревожной степени", - отмечается в отчете. "Хотя 99% легитимных пользователей никогда не введут ничего вредоносного в поле ввода, именно о таком незначительном меньшинстве злоумышленников нам стоит беспокоиться".

Еще один способ совершенствования - переход к среде DevSecOps. Поскольку DevOps требует от организаций более частого тестирования и итераций, DevSecOps требует, чтобы они также увеличили частоту сканирования безопасности. Согласно отчету, из года в год эти показатели постепенно растут. Более трети (36,5%) организаций по-прежнему тестируют только раз в год, что, однако, меньше, чем 38,5% организаций в 2016 году. Доля организаций, которые проводят тестирование ежемесячно, дважды в месяц и еженедельно, увеличилась.

Возможно, самая интересная часть опроса касалась взаимоотношений между разработчиками и специалистами по безопасности. Если они по-прежнему относятся друг к другу в лучшем случае с вооруженным нейтралитетом, а в худшем - с презрением, то это должно измениться, отмечается в отчете. "Если мы когда-нибудь дойдем до того, что преодолеем разрыв между разработчиками и службой безопасности, необходимо изменить отношение обеих сторон", - поясняется в отчете.

"Разработчики, которые рассматривают экспертов по безопасности как внутри компании, так и за ее пределами как ресурс, а не как противника, обычно добиваются больших успехов в снижении рисков в портфелях приложений".

 

Ссылка на источник

ru_RURussian
Мы используем файлы cookie для улучшения вашего опыта работы на нашем сайте. Просматривая этот сайт, вы соглашаетесь на использование нами файлов cookie.

Войти

Зарегистрироваться

Забытый пароль

Корзина

Корзина

Поделиться

Вредоносная безопасность WordPress