多年来,开发人员一直困扰着把安全作为一种事后的声誉。光滑的,功能齐全的快速启动和运行经验,并找出如何处理任何漏洞出现一旦QA的代码。
组织可能有显著的手培养开发者的自由放任的态度由地坑团队安全在不同的领域和发展,QA,行动,和安全操作隔离代码征收他们的专业知识的机会。
但安全和隐私越来越高级用户和公司之间移动更向devops的软件开发方法,开发人员需要摆脱这种声誉,并考虑安全问题作为开发过程的一个组成部分。
阐明如何开发人员对安全的态度正在改变,我坐下来与Jamesha费舍尔,安全操作工程师在GitHub,黑帽问她点空白:开发人员关心安全吗?
有时它似乎仍然像他们不。令人痛苦的大量的web应用程序仍然有SQL注入漏洞。周围的讨论反序列化Java库的缺陷不到一年前显示,很多开发人员仍然没有清除所有输入他们的应用程序。这是一长串的只有两个开发人员共同安全错误。
这并不是说有恶意。任何由人类,根据定义,将是不完美的,软件也不例外。没有开发人员希望代码段他或她产生包含下一个怯场或Heartbleed。问题的知识、技能、心态,和文化,正如费舍尔指出在我们讨论。和在安全和隐私变成了每日标题问题,开发人员开始提出正确的问题。
“所以他们中的许多人越来越多越来越关注安全,”费舍尔说,指着他们问的问题早期关于身份验证和如何安全地存储数据,在过去这是留给secops。开发人员看同行是如何构建类似的应用程序和注意基线的期望。
安全不是缺陷,费舍尔指出。可用性是一种安全,她说。包括用户流量以及恶意。数据泄露用户数据暴露,现在有更多的问题在数据存储,特别是在保护数据所以贼不容易访问或偷,和考虑,从一开始,如何存储数据,仍然保护,以防盗窃。
“很多团队在[说],“我们需要考虑可用性;我们需要考虑应用程序的安全,把它烤,或至少有基本安全的东西,”Fisher说。
对于许多公司来说,安全问题已经成为一个必经之路。当他们摆脱最初的喧嚣,开始吸引企业的利益,许多人面对的前景,确保他们的产品和基础设施符合企业正在寻找什么。在许多情况下,这意味着两个硬化安全性和遵从性。成熟的软件商店在这个阶段也开始意识到记录软件开发过程的重要性并解释他们如何处理软件更新,费舍尔说。
安全也发挥作用上升devops的使用,安全团队工作与开发人员修复的更快更好。这种凝胶和代码是安全的,组织需要进行文化转变,从管理的最高水平,以便安全并入devops管道,费舍尔说。
但是对于那些认为开发人员不关心安全,费舍尔是坚定不移的。“肯定不是这样的。”
这个故事,“开发人员真正关心安全吗?”最初发表的信息世界 。