通过人工主导的安全编码，将重点从被动转向主动

在过去20多年中，同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而，许多企业仍然选择事后违约、事后补救，蒙混过关地应对这一切对人和企业的影响。但是现在，一项新的研究指出了一个新的、由人类主导的方向。

‍以下讨论了Secure Code Warrior与埃文斯数据公司（Evans Data Corp）联合开展的一项研究得出的见解，该研究题为“从反应转向预防：应用程序安全的变化面貌”（2021年），探讨了开发人员对安全编码、安全代码实践和安全操作的态度。阅读报告。

‍‍在这项研究中，开发人员和开发经理被问及他们常见的安全编码实践。突出强调的前三种方法是：

• 部署应用程序后，扫描应用程序是否存在违规或漏洞
• 仔细检查编写的代码，以检查是否存在违规或漏洞
• 重用已知安全的预先批准的代码

开发人员仍然将安全代码实践视为一种被动的实践，但慢慢地将其视为一个人类问题，重点放在从左开始。

这告诉我们什么？前三名的回答中有两个仍然侧重于反应性方法，第一个依赖于工具（扫描仪），第二个依赖于执行手动检查的开发人员（即人员）–；在这两种情况下，都是在编写代码之后。使用这些方法检测到的漏洞必须反馈给开发团队进行返工，从而对项目时间表和项目成本产生连锁影响。

鉴于#3认识到主动编写软件的好处，该软件从一开始就受到保护，不受漏洞的影响。这突出了向左转的转变–；一种主动预防性的方法，从软件开发生命周期的一开始就将安全性融入到软件中。

被动等于昂贵

根据IBM的一项研究，修复发布后代码中的漏洞的成本是在一开始发现并修复漏洞的30倍。这是一个强有力的激励，促使开发人员从一开始就采用一种新的主动、更人性化的方法来保护软件安全，使开发人员能够更安全地编写代码。

这就是你可以称之为人类主导的防御。但是为了让开发人员开始关心安全性，它必须成为他们每天思考和编码的方式的一部分。这是对新的培训方法的呼吁，这些方法与开发人员的日常工作高度相关，并激励他们想要学习–；这两种模式都不适用于当前的培训模式。

要创建积极主动的安全文化，需要进行新的培训，包括：

• 使安全编码成为开发人员提高软件安全技能的一种积极的、有吸引力的体验
• 鼓励开发人员以安全的心态看待他们的日常编码任务
• 使安全编码成为他们日常工作流程的固有特征

当这些线程结合在一起时，首先就可以防止漏洞的发生，从而使团队能够更快、更有信心地发布高质量的代码。阅读完整的报告通过分析和建议，探索软件安全不断变化的面貌，了解组织如何阻止重复漏洞的发生，并在整个SDLC中体验安全文化的积极转变。了解如何：

• 确保从SDLC一开始就考虑安全问题
• 以人为主导的方式进行安全编码
• 杜绝糟糕的编码实践，获得良好的效果