Wenn Sie nicht unter einem Felsen waren, haben Sie kaum einen Tag vergehen sehen, an dem es kein weiteres schwerwiegendes Sicherheitsproblem gibt. Während es viele Schuldgefühle für diese endlosen Sicherheitsprobleme gibt, geht ein Teil davon an Entwickler, die schlechten Code schreiben.
Das macht Sinn. Aber als GitLab, ein Unternehmen von DevOps, über 4.000 Entwickler und Betreiber befragte, fanden sie heraus, dass 68% der befragten Sicherheitsexperten glauben, dass es die Aufgabe eines Programmierers ist, sicheren Code zu schreiben, aber sie denken auch, dass weniger als die Hälfte der Entwickler Sicherheitslücken erkennen kann.
Jeder weiß, dass Sicherheit in den Entwicklungslebenszyklus integriert werden muss, aber das bedeutet nicht, dass sie es ist. Die Umfrage ergab, dass langjährige Reibungsverluste zwischen Sicherheits- und Entwicklungsteams bestehen bleiben.
Fast die Hälfte der befragten Sicherheitsprofis, 49%, gaben an, dass sie Schwierigkeiten haben, Entwickler dazu zu bringen, die Behebung von Schwachstellen zur Priorität zu machen. Schlimmer noch, 68% der Sicherheitsexperten glauben, dass weniger als die Hälfte der Entwickler Sicherheitslücken später im Lebenszyklus erkennen können. Etwa die Hälfte der Sicherheitsexperten gab an, dass sie am häufigsten Fehler gefunden haben, nachdem Code in einer Testumgebung zusammengeführt wurde.
Gleichzeitig gaben fast 70% der Entwickler an, dass sie zwar sicheren Code schreiben sollen, aber wenig Anleitung oder Hilfe erhalten. Ein verärgerter Programmierer sagte: „Es ist ein Chaos, keine Standardisierung, der größte Teil meiner Arbeit hat noch nie einen Sicherheitsscan durchgeführt.“
Ein weiteres Problem ist, dass viele Unternehmen die Sicherheit nicht ernst genug nehmen. Fast 44% der Befragten gaben an, dass sie nicht nach ihren Sicherheitsschwachstellen beurteilt werden.
Wenn Sie also unter der Waffe stehen, um den Code herauszubekommen, und Sie wissen, dass niemand auf die Sicherheit achtet, was würden Sie dann tun? Das ist richtig. Hängt den Sicherheitsdienst auf.
Eine aktuelle Studie hat dies unterstrichen und ergab, dass viele freiberufliche Programmierer sich nicht die Mühe machten, Passwörter in einem Geschäftsauftrag zu schützen. Kurz gesagt, viele Entwickler denken beim Schreiben von Code nicht an die Sicherheit.
Die Umfrage mag neu sein, aber der Konflikt zwischen Sicherheit und Entwicklern ist alt. Wie Linus Torvalds, der Schöpfer von Linux, einmal sagte: „Sicherheitsprobleme sind nur Fehler.“ Und sicherheitshärtende Patches sollten niemals „zu einem Abbruch von Prozessen führen. Der einzige Prozess, der mich interessiert, ist der _Entwicklungsprozess_, bei dem wir Fehler finden und beheben.“
Torvalds fuhr fort: „Aus Sicherheitssicht, wenn Sie einen ungültigen Zugriff finden und ihn abschwächen, haben Sie einen großartigen Job gemacht, und Ihre Härtung war erfolgreich, und Sie sind fertig. „Schau mal, Ma, es ist kein Sicherheitsproblem mehr“, und du kannst es grundsätzlich als „nur noch einen Fehler“ ignorieren, der sich jetzt in einer Klasse befindet, die nicht mehr dein Problem ist.“
Aber die bloße Behebung des Sicherheitsproblems ist erst der Anfang eines Programmierfehlers. Torvalds schrieb: „Aus Entwicklersicht werden die Dinge _wirklich_ nicht erledigt. Nicht einmal annähernd. Aus Entwicklersicht war der schlechte Zugriff nur ein Symptom, und er muss gemeldet, debuggt und behoben werden, damit der Fehler tatsächlich behoben wird.“
Kurz gesagt, Torvalds und viele andere Programmierer sehen in Sicherheitsexperten den Weg für die Erstellung von produktivem Code. Sicherheit ist für sie nicht Job Nr. 1, wenn sie der Erstellung von Arbeitscode im Weg steht. Gute Programme erfordern sowohl Sicherheit als auch Funktionalität.
Colin Fletcher, GitLab’s Manager für Marktforschung und Customer Insights, schrieb: „Unsere Forschung sagt uns, dass die meisten Entwickler sich zwar der Gefahren bewusst sind, die Schwachstellen darstellen und ihre Sicherheitsfähigkeiten drastisch verbessern wollen, ihnen aber oft noch immer keine organisatorische Unterstützung für die Priorisierung der sicheren Code-Erstellung, die Erhöhung der Sicherheitskompetenz und die Implementierung automatisierter Scan- und Test-Tools fehlt, damit dies früher als später geschieht“.
Aus Sicht von GitLab ist die Antwort eine gute DevOps-Praxis. Einer der Schlüssel dazu ist es, die Sicherheit zu einem Teil von DevOps zu machen. Dann ist es dreimal wahrscheinlicher, dass das kombinierte Team Fehler entdeckt, bevor Code zusammengeführt wird.
Durch die frühzeitige Erkennung von Sicherheitsschwachstellen in der Pipeline sind nicht nur die Ergebnisse sicherer, sondern es kommt auch zu weniger Reibungsverlusten zwischen Sicherheit und Entwicklern. Sie lieben sich vielleicht nie, aber zumindest können sie sich besser verstehen. Und das sind gute Nachrichten für jedes Unternehmen.