調查顯示,62%的企業明知代碼存在安全漏洞,仍選擇交付使用,近80%的安全負責人擔心安全漏洞會導致自己丟掉工作,最令人擔憂的是,超過半數的企業即便會進行安全相關工作,也仍要等到開發周期結束才介入安全環節。
這不是工具層面的問題,而是系統性問題,是文化差距,在應用層漏洞占安全漏洞43%的當下,這些問題正使企業暴露于風險之中。
應用安全:一項戰略風險
軟件支撐著業務運轉,這意味著軟件漏洞會使業務面臨風險,盡管大多數公司都認識到了這一風險,但很少有公司有足夠的資源來應對。近90%的團隊僅將11%至20%的安全預算分配給應用安全——在美國,安全漏洞的平均損失已攀升至948萬美元。
CypressDataDefense公司的應用安全總監史蒂夫·科斯滕(SteveKosten)稱,這反映了該行業的根源問題。他告訴我:“應用安全是網絡安全的小兄弟。大多數安全負責人都是從基礎設施領域成長起來的。對于開發人員每天部署20次,他們不覺得有什么;但如果網絡團隊也如此頻繁地變更,他們就會抓狂。”
結果可想而知:大量資金被投入到防火墻和邊界工具上,而代碼級安全卻被忽視。
安全仍是瓶頸
諷刺的是:安全本應促進創新,但對許多團隊來說,它出現得太晚,反而拖慢了進度。
我這么說可能暴露年齡了——20年前,我在EDS擔任安全架構師時,我的職責之一就是在應用程序獲準發布前進行最終的安全審查。問題在于,等我介入時,應用程序已經開發完成,數月的工作已經投入其中。因此,當我發現嚴重漏洞時,我只有兩個選擇:要么放行,祈求一切順利,要么當壞人,強制推遲發布,引發高昂的返工成本。
這兩個選擇都不理想,但那是2005年的情況。令人驚訝的是,到了2025年,許多企業仍在這樣運作。數據也支持這一點——只有36%的受訪者表示會在規劃階段就引入安全環節,而高達57%的受訪者則要等到部署前夕才考慮安全。
科斯滕對此表示贊同。他說:“盡管多年來一直有人宣揚應用安全的重要性,但它仍被視為一項臨時任務。只要企業缺乏安全開發流程,安全問題就會持續在后期出現,并導致發布延遲。”
盡管我們已經經歷了二十年的DevOps、威脅建模和“左移”理念的推廣,但安全仍然是在最后才被強行加入的,并且仍然被視為一種障礙,而非合作伙伴。
權衡取舍的文化
看到62%這個數字——即企業承認故意發布不安全代碼——可能會讓人感到憤怒,但科斯滕給出了更細致的觀點。他說:“真正的問題不在于代碼是否帶有漏洞,而在于企業是否了解他們所承擔的風險。”
他描述了三種類型的企業:一種是對自身脆弱性一無所知(真正的失敗),一種是在沒有風險評估的情況下應對問題(生存模式),還有一種則是基于全面的風險評估做出明智的權衡取舍(成功)。“真正的失敗在于,企業在不了解自身安全狀況或所承擔風險的情況下運營。”
淹沒在誤報中
另一個關鍵挑戰是:干擾信息過多。報告顯示,58%的團隊表示,掃描工具產生的誤報讓他們不堪重負,這個數字可能還低估了問題的嚴重性。科斯滕指出:“安全團隊常常未經驗證就將掃描工具的原始輸出交給開發人員,這會導致兩種不良后果:開發人員忽視他們不理解的真實問題,或者浪費時間修復根本不存在的問題。”
為了解決干擾信息過多的問題,他建議根據應用程序的上下文調整工具設置,優先考慮真實風險,并考慮尋求外部支持。他說:“每天都在做這件事的托管服務提供商,往往能更快、更準確地驗證結果。”
基礎問題仍未解決
盡管人們已經有了廣泛的認知,但近一半的企業仍未解決OWASP十大安全漏洞等基礎問題,這并不一定是因為疏忽。正如科斯滕所指出的,隨著時間的推移,OWASP的漏洞類別已經變得更加廣泛和復雜。“修復整個類別的漏洞并非易事,對于資源不足的團隊來說尤其如此。”
他還指出,人們錯誤地將安全視為合規要求,而非設計原則。“如果安全只是在最后才被強行加入以滿足審計要求,那么結果不會是安全的軟件,而只是臨時修補。”
尋求外部支持的理由
報告顯示,83%的安全專業人士愿意將至少部分應用安全項目外包,這并非失敗的標志,而是認識到現代開發周期需要大多數內部團隊無法提供的支持。
托管應用安全提供商不僅具備處理能力,還具備專業知識——他們對不斷變化的工具、語言和威脅模型擁有豐富的經驗。科斯滕認為,他們的價值在于能夠補充內部團隊的能力:“讓外部合作伙伴負責驗證和掃描工作。這樣,你的團隊就可以專注于安全設計和與開發人員的協作。”
未來之路
應用安全并沒有變得更容易,人工智能生成的代碼已經引入了新的漏洞,而攻擊手段也在同步快速演變,大多數企業并沒有相應擴大安全團隊的規模。
但解決方案不在于更多的工具,而在于更好的集成、更好的可見性,以及一種將應用安全視為業務推動因素而非障礙的文化轉變。
幾十年來,我們一直在談論“左移”,也許今年,我們終于能說到做到了。
