一项亟需改变的现状：软件开发仍然忽视了安全性

【前言】目前，软件漏洞已经存在了很长时间，而伴随着互联网和计算机越来越多地成为我们生活的一部分，这种漏洞错误可能会产生巨大的后果，这意味着组织需要更加关注安全的软件开发。

本文发自ZDNET，原题为“Software development is still ignoring security. That needs to change fast”，作者Danny Palmer，经朋湖网作者黎燕编译整理，供业内参考。

如果说有一个事件表明世界各地的组织和基础设施在软件漏洞面前是多么脆弱，那就是Log4j。

Java日志记录库ApacheLog4j中的关键的零日漏洞使攻击者能够远程执行代码，以获得对设备和网络的访问权限。而且，由于开源软件嵌入了大量的应用程序、服务和企业软件工具中，它有可能产生广泛和长期的破坏。

这夜难怪美国网络安全和基础设施机构CISA的主管Jen Easterly将这个漏洞描述为"我整个职业生涯中见过的最严重的漏洞之一，如果不是最严重的的话"。

安全补丁很快被开发出来，组织也迅速开始应用它们，尽管Log4j开源代码无处不在的性质意味着将有软件和应用程序不会收到更新，特别是如果没有人意识到Log4j是开发过程的一部分。

Log4j只是多年来在软件中发现严重安全漏洞的一个例子。从当时的微软创始人比尔·盖茨发布他的可信赖计算备忘录开始20年后，该备忘录敦促微软的开发人员在其操作系统和产品中发现各种错误和安全漏洞后生产更安全的软件。

"最终，我们的软件应该从根本上是安全的，客户甚至从不担心它，"比尔·盖茨写道。

二十年过去了，虽然微软Windows通常被认为是一个非常安全的操作系统，但如果正确使用并应用安全更新，即使是微软也无法逃脱代码中的关键漏洞。更广泛地说，周围仍然有太多不安全的软件。

软件总是带有错误，但软件和服务对我们的日常生活变得越来越重要，这使得安全漏洞的潜在影响更具破坏性。

在许多方面，软件开发还没有发展到面对这个新的现实：产品仍然在推出，只是为了漏洞， 有时是重大的漏洞-在很久以后被发现。当它涉及像Log4j这样有些晦涩难懂的组件时，组织甚至可能不确定他们是否受到影响。

"从本质上讲，我们进行软件开发的方式只会导致错误和缺陷，"软件安全公司Code42的首席技术官兼软件开发团队负责人Rob Juncker表示。

"我们生活的工作节奏加快与大多数安全团队的最佳实践相矛盾"。

网络安全希望使软件安全，这是一个需要投资，人员和时间的过程。这往往与构建软件的公司的要求背道而驰：他们希望确保代码正常运行并尽快将其发布，特别是如果新产品或功能依赖于它。

Luta Security首席执行官Katie Moussouris表示，整个行业的安全状况非常不平衡，一些顶级供应商的安全性相当不错，但绝大多数供应商，即使是资金充足的供应商，都缺乏基本的安全投资。

"不幸的是，在过去的20到30年里，我们看到网络安全的投资不足，"她说道。

公司需要做的是确保网络安全从一开始就被纳入其中，并在每一步都作为软件开发程序的构建块， 这样所有的风险和潜在风险都可以在它们成为问题之前被考虑并采取行动。

"如果你考虑一下软件是如何制造、部署和维护的，那就是一个完整的供应链。它始于您设计软件或考虑新功能时，"软件安全公司Synopsys的高级安全策略师Jonathan Knudsen表示。

"在设计阶段，你必须考虑安全性，你必须做威胁建模或架构风险评估，所以在你编写任何代码之前，你只是在考虑它将如何工作，它将做什么——以及它如何受到攻击，"他补充说道。

CEO可能不愿意花费额外的时间和资源来确保代码得到安全交付，但从长远来看，无论是在成本还是声誉方面，这都应该是最有效的方法。

更安全的做法是确保代码在推送之前是安全的，而不必在以后提供关键更新，用户甚至可能不应用这些更新。

问题在于，许多组织已经习惯了速度是关键的发展模式，而他们产生糟糕代码的风险被认为相对较低。

这可能意味着需要更多的实际干预来鼓励安全代码，并惩罚那些故意忽视安全问题的人。

"在我们依赖如此严重的其他行业，我们监管了这些行业，但软件在很大程度上仍然不受监管，因此没有软件责任法，"Moussouris表示。

这方面已经出现了一些变化：例如，英国政府提出了立法，要求物联网设备制造商在产品销售之前遵循一套软件安全规则。

然而，政府的行动速度比行业慢，即使规则得到执行，也已经有很多物联网软件无法满足要求。

但是，随着组织和个人越来越意识到网络安全问题，市场可能会迫使组织更加认真地对待软件——让那些不考虑安全性的软件开发人员落后。

"在全球范围内，我们越来越了解软件安全性，因此我认为这将转化为买家向他们的建筑商提出更棘手的问题，"Knudsen表示。

因此，对于软件开发人员，他们的客户甚至整个社会来说，认真对待软件安全至关重要。也许"快速行动并解决问题"可以成为开发人员渴望的新座右铭。