Het belang van het definiëren van beveiligde code

Código de seguridad Nachrichten

De ontwikkelaars die de software, applicaties en programma’s maken die digitale business stimuleren, zijn de levensader van veel organisaties geworden. De meeste moderne bedrijven zouden niet (winstgevend) kunnen functioneren zonder concurrerende applicaties en programma’s, of zonder 24-uurs toegang tot hun websites en andere infrastructuur.

En toch zijn deze zelfde contactpunten vaak ook de toegangspoort die hackers en andere snode gebruikers gebruiken om informatie te stelen, aanvallen uit te voeren en springplank naar andere criminele activiteiten zoals fraude en ransomware.

Succesvolle aanvallen blijven wijdverbreid, ook al zijn de uitgaven aan cyberbeveiliging in de meeste organisaties ver omhoog, en hoewel bewegingen zoals DevSecOps verschuiven de beveiliging naar die ontwikkelaars die tegenwoordig de levensader van het bedrijfsleven zijn. Ontwikkelaars begrijpen het belang van beveiliging en willen over het algemeen veilige en hoogwaardige code implementeren, maar kwetsbaarheden in de software worden nog steeds uitgebuit.

Waarom?

Voor het 2e jaar voerde Secure Code Warrior De staat van door ontwikkelaars gestuurd beveiligingsonderzoek, 2022 in samenwerking met Evans Data Corp in december 2021, waarbij 1.200 ontwikkelaars wereldwijd werden ondervraagd om inzicht te krijgen in de vaardigheden, percepties en gedragingen als het gaat om veilige coderingspraktijken, en hun impact en waargenomen relevantie in de levenscyclus van softwareontwikkeling (SDLC).

Uit het onderzoek bleek dat er geen duidelijke definitie of begrip bestond over wat veilige code inhoudt. Het blijkt dat er een grote discrepantie is tussen wat ontwikkelaars denken is veilige code, en welke veilige code? eigenlijk is.

Het was niet verwonderlijk dat het schrijven van kwaliteitscode een topprioriteit was voor de ontwikkelingsgemeenschap. Maar toen specifiek werd gevraagd naar veilige code, zei slechts 29% dat actieve praktijk van het schrijven van code die vrij was van kwetsbaarheden prioriteit kreeg. In plaats daarvan associeerden ontwikkelaars minder veilige en veel minder betrouwbare praktijken met het maken van veilige code. Het onderzoeken van bestaande code (37%) en het vertrouwen op externe bibliotheken voor veilige code (37%) waren bijvoorbeeld de belangrijkste praktijken die ontwikkelaars associeerden met veilige codering. Het hergebruiken van code die al als veilig werd beschouwd (32%) was een andere populaire keuze. De actieve praktijk van het schrijven van code die vrij is van kwetsbaarheden kwam op de 6e plaats met 29% die aangaf dat dit een toppraktijk was bij het maken van veilige code.

Bij verdere vragen werden een gebrek aan tijd en een gebrek aan een samenhangende benadering van het management genoemd als de belangrijkste barrières om veilige code te creëren.

Het vertrouwen op bestaande code is een van de factoren die het risico vergroten dat software wordt geleverd met exploiteerbare kwetsbaarheden. Het aanpakken van deze loskoppeling van wat veilige code is, is nodig voor ontwikkelaars om kwaliteitscode te maken die ook veilig is.

Wat kunnen organisaties doen om de situatie op te lossen?

Een van de belangrijkste berichten uit de enquête was dat de ontwikkelaarsgemeenschap als geheel gevuld is met professionele mensen die geven om wat ze doen. Het schrijven van code van topkwaliteit was voor hen als groep overweldigend belangrijk. Het probleem is dat in veel gevallen de organisaties waarvoor ze werken niet hebben geïdentificeerd welke best practices nodig zijn om veilige code te produceren, en niet genoeg middelen hebben gestoken in training of hun ontwikkelaars in staat hebben gesteld om die doelen te bereiken.

De meeste ontwikkelaars verklaarden zelfs dat hun organisaties niet eens een duidelijke definitie hadden van wat veilige code is. Een van de meest verontrustende voorbeelden hiervan was dat 28% van de respondenten aangaf dat hun organisatie code als veilig beschouwde als er geen inbreuk werd gemeld nadat een applicatie of programma eenmaal in een productieomgeving was geïmplementeerd of voor het publiek beschikbaar was gesteld.

Het is waarschijnlijk vanzelfsprekend, maar in het huidige complexe dreigingslandschap zal hopen op goede resultaten zonder er echt naar toe te werken waarschijnlijk voorspelbare resultaten opleveren: nog meer beveiligingsinbreuken.

Gelukkig is dit een situatie waarin het relatief eenvoudig is om op zijn minst aan de slag te gaan met het oplossen van het probleem, en dan te gaan werken aan het doel van veilige code. De eerste en misschien wel belangrijkste stap is dat organisaties definiëren wat zij als veilige code beschouwen. En alles wat buiten die definitie valt, moet als niet veilig worden beschouwd.

Veilig coderen moet worden gedefinieerd als de praktijk van bekwame ontwikkelaars die code schrijven die vrij is van kwetsbaarheden, vanaf het begin van de SDLC. Pas als deze praktijk is gedefinieerd, kan de ontwikkelaarsgemeenschap naar dat doel toe werken.

Het doel van veilige code werkelijkheid maken

Zodra de definitie van veilige code is vastgesteld, moeten organisaties klaar zijn om die inspanningen en hun ontwikkelaars te ondersteunen die het doel zullen bereiken om volledig veilige codepraktijken te implementeren. Die steun is cruciaal. Zonder deze code zal de definitie van veilige code binnen uw organisatie, hoewel belangrijk, niet meer zijn dan een papieren tijger. Veilige coderingspraktijken moeten worden goedgekeurd door het management en moeten de juiste aandacht, autoriteit en budget krijgen om te slagen.

Dit vereist mogelijk nieuwe benchmarkingdoelen voor ontwikkelaars, die traditioneel werden gemeten op de snelheid van hun codering. In feite meldde 37% van de ontwikkelaars in het onderzoek dat ze bekende kwetsbaarheden in hun code achterlieten omdat strakke deadlines niet genoeg tijd zouden geven om ze te repareren of om vanaf het begin correct te coderen.

In het begin kan dit betekenen dat de deadlines worden verlengd om ontwikkelaars meer tijd te geven om correct te coderen, hoewel die tijdsinvestering aan het begin van het coderingsproces waarschijnlijk later zal worden ingehaald omdat er minder behoefte is aan programma-revisies, patches en post-implementatie het werk. En het elimineren van de mogelijkheid van een ingezette inbreuk kan uiteindelijk honderden uren besparen en mogelijk miljoenen in gederfde inkomsten, boetes en opruimkosten.

Ontwikkelaars hebben ook relevante, hands-on training nodig, vooral als het gaat om specifieke kwetsbaarheden die ze waarschijnlijk zullen tegenkomen, en om te leren hoe ze kwetsbaarheden in de code kunnen identificeren en oplossen. Dit geldt met name in het licht van 36% van de respondenten die zeiden dat ze kwetsbaarheden uit hun code wilden verwijderen, maar niet over de vaardigheden of kennis beschikten om dit te doen.

Wilt u meer inzichten lezen die zijn verkregen uit het onderzoek van Secure Code Warriors onder 1200 ontwikkelaars over de hele wereld? U kunt ze hier openen: Staat van door ontwikkelaars gestuurde beveiliging 2022

David
Rate author
Hackarizona