谁负责提高软件开发环境的安全性?

TIME:2021-07-27 11:34:22 [ 点击: 次 ]

Venafi 宣布了一项全球调查的结果,该调查评估了SolarWinds/SUNBURST、CodeCov 和 Kaseya/REvil 等软件供应链攻击对开发组织如何改变其保护软件构建和交付环境的方法的影响。

该调查评估了 IT 和软件开发行业 1,000 多名信息安全专业人士、开发人员和高管的意见。

60ff7e708370e.png

安全和开发团队之间的错位

根据调查,受访者几乎一致 (97%) 同意,用于攻击 SolarWinds 软件开发环境的技术和程序将在今年的新攻击中重用。

尽管有这种确定性,安全团队和开发团队之间并没有一致意见,哪个团队应该负责提高软件构建和分发环境中的安全性。例如,当被问及谁主要负责提高组织软件开发环境的安全性时,48% 的受访者表示他们的安全团队负责,48% 的受访者表示他们的开发团队负责。

“虽然SolarWinds对美国的攻击并非首创的,它肯定是到目前为止遭受最严重威胁的国家之一。Bocek安全策略和威胁情报副总裁Venafi表示。

“SUNBURST 明确表示,每个组织都必须采取紧急、实质性的行动来改变保护软件构建的方式。降低这些风险的唯一方法是显着提高开发管道及其交付的软件的安全性。然而,如果我们不能就谁负责采取这些行动达成一致,很明显我们甚至还没有接近做出有意义的改变。任何希望这个问题得到解决的人都是在自欺欺人。”

对软件开发环境的信心和责任

80% 的受访者表示,他们对组织抵御针对软件构建环境的攻击的能力并不完全有信心。

69% 的开发人员受访者认为开发人员负责其组织软件构建过程的安全性。然而,67% 的安全受访者认为这是安全团队的责任。

当被问及谁应该负责组织软件构建过程的安全时,58% 的安全受访者表示这应该是他们的责任,而 53% 的开发人员受访者表示应该是他们的责任。只有 8% 的受访者表示应该分担责任。

“正如这些调查结果清楚地表明的那样,大多数组织都没有明确哪个团队有动力或指令来进行所需的更改。将未来攻击风险降至最低的唯一方法是使开发人员能够在不影响安全性的情况下快速从构思到生产。”Bocek 继续说道。

“在软件开发中,创新速度和安全性密不可分。与一级方程式工程师同时兼顾性能和安全性的方式相同,软件开发人员也需要对两者负责。为此,开发人员显然需要安全团队的帮助和支持。董事会、首席执行官和董事总经理需要采取行动,确保清晰的所有权界限,以便进行变革,并让团队承担责任。”