Когда разработчики и безопасники работают отдельно, появляются недостатки и пробелы в безопасности по всему SDLC.
Разработчики ПО исправляют только 32% уязвимостей и регулярно публикуют уязвимый код. Об этом сообщается в последнем отчете компании Tromzo, предоставляющей инструменты для безопасной разработки.
В исследовании Tromzo приняли участие более четырехсот разработчиков в США, работающих в компаниях, где используются инструменты CI/CD.
«Как показывает исследование, разработчики регулярно игнорируют проблемы безопасности, но можно ли их винить? Команды безопасности бомбардируют их бесконечным потоком проблем, которые нужно исправить, но нет никакой возможности выделить из общего потока по-настоящему критические проблемы. При этом они должны выпускать ПО чаще и быстрее, чем когда-либо», – сообщил технический директор Tromzo Харшит Читалия (Harshit Chitalia).
По словам эксперта, если компании хотят, чтобы разработчики реализовывали безопасность, необходимо уменьшить давление на них. Для этого нужно интегрировать с жизненным циклом разработки ПО (SDLC) контекстную и автоматизированную проверку безопасности.
Согласно отчету, 42% разработчиков раз в месяц публикуют уязвимый код. Если разработчик выпускает уязвимый код сознательно, значит, он считает, что исправление уязвимостей – не его обязанность, или другие первостепенные задачи, которые ставит перед ним компания, оттесняют безопасность на задний план.
Разработчики исправляют только 32% известных уязвимостей. Учитывая количество ложноположительных уведомлений безопасности, которые они получают ежедневно, 32% – весьма неплохой результат, если разработчикам, конечно, удается понять, что именно нуждается в исправлении. К сожалению, без обучения безопасности и опыта разработчики не могут отличить реальные проблемы от ложноположительных.
Треть всех уязвимостей – не более, чем шум. Для уменьшения ложноположительных уязвимостей нужно обеспечить сканерам доступ ко всем требуемым активам информации, чтобы они могли точно установить, есть уязвимость или нет. Снижение шума позволит разработчикам увереннее справляться с уязвимостями.
33% разработчиков считают, что разработка и безопасность – две разные вещи. Когда команды разработчиков и безопасников работают отдельно, появляются недостатки и пробелы в безопасности по всему SDLC. Это приводит к появлению уязвимостей и плохому пользовательскому опыту.
Одно найти легче, чем другое. Спойлер: это не темная материя