軟件代碼引安全危機！專家：安全軟件開發文化才是解決方法

軟件代碼引安全危機！專家：安全軟件開發文化才是解決方法

資安事件每天都在發生，而駭客之所以能夠成功入侵系統或軟件，很大程度上與軟件代碼的設計有關！假如我們能於開發軟件時考慮到安全性，那麼對於提升日的防禦能力亦有所幫助。

最近 CA Technologies 在一份針對全球 1,200 多名 IT 領導者進行的有關安全軟件開發的第二階段調查正式公佈，該報告名為《將安全視為軟件生命週期不可分割的一部分》（Integrating Security into the DNA of You Software Lifecycle），由 IT 行業分析公司 Freeform Dynamics 負責進行，將安全實踐整合到其軟件開發計劃中的能力的影響，這實踐和做法俗稱為 DevSecOps。

軟件推動著現今數碼經濟的發展。當從一開始就將安全集成到軟件開發中時，數據洩露的風險將大大降低，在與我們的線上世界中無處不在的應用程式和服務交互時，為用戶提供更高的信心和信任。

根據調查受訪者表示，大多數人認為軟件開發促進企業增長及擴張，幫助企業提升競爭力，推動數碼轉型。然而，調查結果亦顯示，隨著軟件對企業在數碼經濟中獲得成功越來越重要，安全問題受到極大的關注。事實上，74% 的受訪者同意軟件及代碼問題引發的安全威脅日益讓人擔憂。早前一份由 CA Veracode 發佈的 2017 年軟件安全狀況報告（State of Software Security Report 2017）亦發現，在以前未經測試的軟件中，漏洞繼續以驚人的速度出現，77% 應用程式在最初掃描時至少發現一個漏洞。

調查結果顯示，創建安全軟件開發文化是一個重大挑戰。多達 58% 的受訪者認為現有文化和缺乏技能是企業在軟件開發過程中嵌入安全測試和評估的障礙，僅有 24% 的受訪者強烈同意企業文化及實踐為開發、營運及安全之間的協作提供支持。除文化上的限制外，只有不到四分之一的受訪者強烈同意高級管理層為了有足夠的時間來評估和修復軟件安全漏洞，而縮短產品上市時間。

在任何現代軟件工廠，安全性都是一個關鍵原則。儘管調查結果顯示企業都非常認同確保安全建構、維護數據和系統的重要性，但企業內部仍缺乏文化觀念以意識這個問題的緊迫性。智能 IT（運用人工智能、機器學習及分析以做出更明智的知情決策）加上安全性，才能明顯改變商業模式。

該報告展現出「軟件安全大師」（Software Security Masters）（排名前 34％ 的受訪者）的特徵，這些企業能夠將安全完全整合到軟件開發生命週期中，當中包括對應用程式進行早期及持續的測試以發現安全漏洞以及採用 DevSecOps 的做法。事實上，與主流企業相比，來自軟件安全大師的受訪者有兩倍以上的可能性強烈認同他們認為安全是新的商業機會的推動者。這些企業還展示了以下特徵︰

－盈利增長高出 50%
－收入增長高出 40%
－更有可能進行安全測試以與頻繁的應用程式更新保持一致的比例高出 2.6 倍
－更有可能超過競爭對手的比例高出 2.5 倍