近期一項調查顯示，軟件專家能夠對應用安全的概念有基本了解，但是，他們卻無法修復由此所引發(fā)的安全問題。

[[124051]]

軟件專家自身以及他們所提供的業(yè)務指導方面都缺乏軟件安全編碼的實踐經驗。

像Target、Home Depot以及JP Morgan Chase這樣的公司都將安全漏洞視為頭條新聞，在這種商業(yè)環(huán)境中，安全編碼實踐便成為一個大問題。如果軟件專家們了解如何編寫抗攻擊性代碼，并且高層管理人員能夠將安全編碼排在優(yōu)先的地位，那么，就可能阻止這些安全漏洞和數據缺失的發(fā)生。

安全代碼實踐，即用一種無漏洞、防止黑客盜取數據的方式來編寫應用程序。這并非全新的理念，早在10年前，就有應用安全專家提出了安全信息代碼的話題。John Dickson是圣安東尼奧Denim Group應用安全咨詢公司的一位主管，他說：“通過改變軟件的構建才能真正地解決其安全問題。”

但是，專業(yè)人士卻對其置若罔聞。2014年Denim Group公司的一項調查報告顯示，軟件專家能夠對應用安全的概念有基本了解，如SQL注入，但是，他們卻無法修復由此所引發(fā)的安全問題。2014年Denim Group公司的“應用安全研究報告”對600名軟件開發(fā)人員、架構師和質量保證專家進行了調查。該報告從應用程序安全概念(如威脅建模和輸入驗證)以及對防御性編碼的理解兩方面對各位專家進行測試調查。

軟件專家未能通過安全測試

Dickson是該報告的主要撰寫人，在近期的一項會談中，他與我分享了Denim Group公司的一些新發(fā)現：

Dickson說，大多數軟件開發(fā)人員對應用安全概念都會有一定的了解，但是，他們卻不必了解如何將這些概念融入到實踐中。Dickson 說：“當被問及到如何編寫更為安全的代碼時，這些專家都回答不上來。”他說，這些專家們回答應用安全性問題時，平均只有56%的問題回答正確，“70%專家不及格。”同樣，很多軟件專業(yè)人士也沒有受過足夠多的應用安全培訓。其中一個調研問題是，“你曾經接受過多長時間應用安全教育?”半數被調查者的答案是，一天以上。另外一半的被調查者的答案是，少于一天，或者是沒有被培訓過。

我愿意這樣想，一天的應用安全培訓至少比沒有培訓過的要好得多。但是，調查結果的實例表明，事實未必如此。在調查中，我們對那些自稱接受過應用程序安全培訓的專業(yè)人士這樣提問：“你的公司實施過SDLC或者其他流程改進措施，從而使所培訓的概念在實際運行中變得正規(guī)化嗎?”33%的人的回答是“yes”，而另外三分之二的人的回答是“不了解”或者是“no”。換句話說，盡管有的企業(yè)對軟件工作人員進行了應用安全培訓，但是，有的企業(yè)還是“采用以前的方式方法進行現有工作。”

失敗的高層管理者

假設，以上調查結果精確地反映了目前企業(yè)的應用安全培訓現狀，那么這種狀況有點不妙。為了使軟件專家跟上應用安全的發(fā)展速度，企業(yè)花費了大量的時間和金錢。然而，一旦學員回答日復一日的工作崗位上，企業(yè)卻從來沒有在加強培訓所學概念上下任何功夫。然而，那些口頭上批準應用安全培訓開支的企業(yè)高管們，在實際防止安全事故發(fā)生的工作中，卻沒能保持對安全代碼實踐的支持。對于軟件專家培訓的相關細節(jié)我們沒法說的太細致，但是，可以清楚地知道的是：他們并非要將應用安全性列為首要位置。

只要這種情況一直持續(xù)下去，軟件專家們就不可能重視應用安全培訓。當然，也會有較少數的軟件人士愿意將時間投入到成為一名資深的應用程序安全專家上面。但是，大多數人還是認為安全編程實踐僅是一系列不錯的技能，而對于工作績效來說并沒有什么直接關系。

當專家們真正認識到，通過培訓才能獲得某些技能時，才會更多的關注到培訓的重要性，開始做記錄，開始提出問題。當需要使用到這些技能時，我們開始需求保證，并研究在何處能學會這些技能。我們這樣做，是因為，我們工作上的成敗都與這些技能有關系。

當問到，是否了解應用安全性以及是否掌握了安全代碼實踐時，我們的回答是，還遠未達到這種水平。這種回答意味著，不僅僅是軟件人員在該考核中沒有及格，高官們同樣也是不及格的狀態(tài)。

我們如何才能扭轉這種局面呢?來聽聽大家的看法。