根据最近的一份报告，只有20%的新开发人员接受过安全编码培训。随着应用程序的使用日益增长，这是一个非常重要的问题。拥有一个缺乏安全实践的开发团队存在风险，并且可能会基于他们缺乏安全编码培训而做出许多关键疏忽和软件漏洞。持续、有针对性的技能发展有助于有效降低这些风险。

调查结果不容乐观

ESG 在7月发布了《现代应用程序开发安全报告》。报告结果显示了开发人员在安全培训方面的一些令人不安的差距。该调查表明，在接受调查的组织中，只有20%为他们雇用的新开发人员提供安全编码培训。此外，35%的受访组织表示，他们雇用的开发人员中只有不到一半参加过正式培训。更糟糕的是，只有不到50%的受访组织要求其开发人员每年参加一次以上的正式培训。这些发现让开发人员和他们使用的应用程序存在潜在的严重安全编码漏洞。

当开发人员缺乏安全实践时

当开发人员不够重视安全问题或未接受过安全实践培训时，会发生什么? 企业或相应使用软件的合作商将成为网络攻击的受害者。未经过安全相关培训的开发人员可能会带给软件更多的安全缺陷，例如，当开发人员不执行最低权限时，应用程序可能处于危险之中，因为不必要的访问权限可能导致噩梦般的场景。

当开发人员缺乏安全实践相关认知时，将会企业带来经济损失。根据微软Trustworthy Computing主管Tim Rains称，使用安全编码为企业节省了一些真正的成本。当开发人员在应用程序开发生命周期的过程中没有意识到安全的重要性，那么很可能导致软件中存在安全漏洞，继而为发生网络攻击埋下伏笔，造成的经济损失也不可计数。

因缺少安全编码导致的问题

如果开发人员没有接受过安全编码培训，那么很可能在应用程序开发时，构建一个由漏洞的应用软件。开发人员引入的漏洞时间越长，识别和修复漏洞的成本越高。

以下是缺乏安全编码培训的开发人员在创建Web应用程序时可能犯的主要错误：

注入漏洞

损坏的身份验证

敏感数据暴露

XML 外部实体 (XXE)

损坏的访问控制

安全配置错误

跨站脚本(XSS)

不安全的反序列化

使用具有已知漏洞的组件

日志记录和监控不足

不难发现，这些漏洞是开放Web应用程序安全项目 (OWASP) 的10大漏洞。OWASP在线社区致力于Web应用程序安全。这些漏洞数据为加强代码安全提供了有利支撑，这些安全漏洞展示了每个开发人员在编码时都应该考虑的首要漏洞。

加强编码安全有助提高网络安全

调查显示，90%的网络安全事件都是由软件中的安全漏洞导致的，超过六成的安全漏洞与代码有关。而在软件开发阶段，通过静态代码检测工具查找代码缺陷及运行时安全漏洞，不但有利于开发人员编写出安全的应用软件，而且有助提高网络安全防御能力。

当今应用程序开发的最大问题之一是，只有大约五分之一的开发人员接受过安全编码培训。这可能会让那些忽视安全编码培训的企业付出代价，不但查找和修复安全漏洞困难，而且一旦遭到网络攻击将会造成严重经济、业务、声誉等影响。但好消息是，在开发阶段通过使用静态代码检测工具，可以弥补开发人员安全能力缺乏这一差距，并有助于防止缺乏安全编码意识可能造成的损害，提高网络安全性。

参读链接：

https://resources.infosecinstitute.com/topic/only-20-of-new-developers-receive-secure-coding-training-says-report/

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！