减少软件缺陷的最佳实践

关键要点

软件推动了创新，使组织在数字转型中实现更高效、更透明和更具成本效益的服务交付。因此，IT和安全领导者越来越意识到保持应用程序和技术的最新重要性。随着组织发展团队采用自动化、原生云技术和微服务架构，应用程序开发的速度虽然加快，但也带来了复杂性和安全隐患。在这个互联互通的世界中，一个应用程序的安全缺陷可能会引发连锁反应，使全球的软件处于脆弱状态。

根据IBM的报告，2023年数据泄露的平均成本达到445万美元，高于2022年的435万美元。IT领导们需要帮助开发者减少软件中安全缺陷的引入和积累。我们的研究显示，大约32%的应用程序在首次投入生产时存在缺陷，经过五年，几乎70%的应用程序至少会有一个安全缺陷。

应用程序的规模、年龄以及自上次扫描以来过的时间都是导致新缺陷引入概率增加的因素。因此，以下三种最佳实践可以帮助企业减少缺陷。

降低缺陷的最佳实践

1. 通过API进行自动化扫描 ：自动化的兴起对软件开发中的安全需求提出了新的要求。利用API扫描，可以降低人为错误，提高开发效率。根据我们的报告，当应用程序在开发过程中通过API集成代码扫描时，引入缺陷的概率平均下降2%。这表明通过自动化，企业能有效降低缺陷引入的机会。
2. 频繁进行多种扫描 ：从概念到应用程序退役的各个阶段都进行扫描，可以有效消除导致安全漏洞的缺陷。延迟扫描会导致缺陷不断积累，平均每月推迟一次扫描，引入缺陷的可能性会增加1.3%。现在，90%的应用程序每周被扫描多次，企业应使用全面的工具组合进行扫描，涵盖静态、动态和软件组成分析（SCA）。
3. 建立实践性的开发者安全培训 ：开发者安全培训对缺陷发现与后续修复至关重要。通过实际示例和动手练习，开发者可以详细了解缺陷的特性，并学会编写修复补丁，从而在日后的工作中能更快地应对类似问题。

除了这三种最佳实践，企业还应该考虑建立应用程序生命周期管理计划，整合变更管理、资源分配和组织控制等要素。

通过在软件开发生命周期中全方位整合安全性，企业能够有效地建立安全防护及漏洞修复机制。这将有助于团队在开发层面建立有效的安全保障体系。

克里斯·恩格，Veracode首席研究官