多年来,开发人员一直被一种把安全放在首位的名声所困扰。获得一个流畅的、功能齐全的体验并快速运行,并想出如何在QA拿到代码后处理任何漏洞。
通过将团队隔离在不同的领域,并给予开发、QA、运维和安全操作孤立的机会来利用他们的代码专业知识,组织可能在培养开发人员对安全性的放任态度方面发挥了重要作用。
但是,随着安全和隐私日益成为用户最关心的问题,随着公司越来越倾向于采用devops方法进行软件开发,开发人员需要摆脱这种声誉,将安全问题视为开发过程中不可分割的一部分。
为了阐明开发人员对安全的态度是如何变化的,我与GitHub的安全运营工程师Jamesha Fisher坐下来,直截了当地问她:开发人员关心安全性吗?
有时,他们似乎仍然不知道。令人沮丧的是,大量web应用程序仍然存在SQL注入缺陷。围绕着Java库中的反序列化错误不到一年前的数据显示,许多开发人员仍然没有清理应用程序的所有输入。这只是长长的名单中的两个开发人员常犯的安全错误.
这并不是说他们有恶意。从定义上讲,人类创造的任何东西都是不完美的,软件也不例外。没有开发人员希望自己生成的代码段包含下一个代码段怯场或Heartbleed。正如费雪在我们的讨论中指出的,这是一个知识、技能、心态和文化的问题。随着安全和隐私成为每天的头条新闻,开发人员开始问一些正确的问题。
“他们中的许多人越来越关注安全问题,”费舍尔说,并指出他们早期提出的关于身份验证和如何安全存储数据的问题,而在过去的几年里,这是留给保密部门的。开发人员正在观察他们的同行如何构建类似的应用程序,并注意基线期望。
Fisher指出,安全不仅仅是漏洞。她说,可用性也是一种安全。这既包括用户流量,也包括恶意意图。随着数据泄露暴露了用户数据,现在围绕数据存储有了更多的问题,尤其是如何保护数据,使窃贼无法轻易访问或窃取,并从一开始就考虑如何存储数据,以便在被盗时仍能受到保护。
“很多团队都在说,‘我们需要考虑可用性;我们需要考虑应用的安全性,或者至少考虑基本的安全性。”
对许多初创公司来说,安全问题已经成为他们的必经之路。当他们通过最初的忙碌并开始吸引企业的兴趣时,许多企业都面临着确保他们的产品和基础设施符合企业需求的前景。在许多情况下,这意味着加强安全性和遵从性。在这个成熟的阶段,软件商店开始意识到记录软件开发过程和解释他们如何处理软件更新的重要性,Fisher说。
安全也在devops的使用中扮演着重要的角色,因为安全团队与开发人员合作以更快更好地解决问题。Fisher说,为了使这一点得到凝聚并保证代码的安全性,组织需要经历一场文化转变,从最高管理层开始,这样才能将安全性纳入devops的流程中。
但是对于那些认为开发人员不关心安全的人,Fisher是坚定的。“事实绝对不是这样。”
这篇文章“开发人员真的关心安全性吗?”最初是由信息世界 .