博客

了解漏洞只是成功的一半

Lori MacVittie 缩略图
洛里·麦克维蒂
2019 年 10 月 7 日发布

随着我们继续推进持续 IT 进程,安全性成为我们关注的重点。 嗯,应该有。 违规行为比比皆是。 每天都会发现漏洞,而且补丁差距似乎并没有缩小。

为了提高代码的安全性,经常被建议的解决方案之一是扫描源代码。 静态和动态安全扫描已成为持续交付流程的主要要素。 我们自己的内部管道包括它们,我可以随时查看仪表板,了解这些扫描发现的所有信息。 

会心       

但是,正如 GI Joe 提醒我们的那样,了解源代码中存在的漏洞只是成功的一半。 如果另一半真的是蓝色和红色激光,那将会很有趣,但应用安全的现实是,另一半是“对这些漏洞采取措施”。 可悲的是,我们没有看到现实成为现实。

您可能还记得 Tripwire 的一份报告( 2019 年容器安全状况),其中 17% 的受访者承认拥有易受攻击的容器,知道它们是什么,但仍然部署了它们。

您可能还记得2017 年 Arxan/IBM 关于移动和物联网application安全的报告,该报告发现 53% 的受访者对移动应用程序使用静态安全测试,51% 的受访者使用动态安全测试。 尽管对违规行为存在很大担忧,但近一半(44%)的人并没有采取任何措施来防止它。

不对已知漏洞进行测试和采取任何措施的问题几乎总是与减少价值实现时间的压力有关。 近一半 (48%) 的开发人员表示他们没有足够的时间花在安全方面( 2018 年 DevSecOps 社区调查)。 其他调查也同意这一观点;开发人员面临着巨大的压力,需要更快、更频繁地编写代码。 事实证明,无论是数据还是传输路径,当速度受到影响时,安全性仍然是被忽视的“因素”。

众所周知,人们会按照自己被衡量的标准去努力。 由于开发人员是人,因此他们也要遵守该规则。 如果他们要衡量快速进入市场的能力,他们就会朝着这个方向努力——即使这意味着跳过危及安全的步骤。 如果我们要向市场提供安全的应用,我们需要接受一种文化转变,这种转变衡量和重视安全地进入市场快速进入市场一样重要。

在那之前,我们依靠红蓝激光来处理漏洞和开发人员一样安全。