Dalış Özeti:
- Yazılım geliştirme profesyonellerinin neredeyse üçte biri güvenli yazılım geliştirme uygulamalarına aşina değil, bu da Salı günü yayınlanan çalışma Linux Vakfı ve Açık Kaynak Güvenlik Vakfı tarafından gösterildi.
- Raporda, 10 profesyonelden 7’sinin güvenliği geliştirme uygulamalarına nasıl dahil edeceklerini öğrenmek için iş başında eğitime güvendiği bulundu. Ancak rapora göre, konuyla ilgili asgari düzeyde bilgi edinmek için genellikle beş yıllık çalışma deneyimi gerekiyor.
- Yazılım geliştirme profesyonelleri en sık karşılaştıkları zorlukların zaman eksikliği, farkındalık ve eğitim yetersizliği olduğunu belirtti.
Dalış İçgörüsü:
Çalışma, endüstri ve federal yetkililerin yazılım tedarik zincirindeki kritik güvenlik açıklarını ortadan kaldırmaya çalıştığı bir dönemde geldi. güvenli geliştirme uygulamalarını birleştirerek Yazılım geliştirme sürecine.
“Güvenli yazılım geliştirmeyi bilen biri tarafından geliştirilen yazılım, uzak saldırganların saldırması daha zor hale geldi” dedi Linux Vakfı’nın açık kaynak tedarik zinciri güvenliği yöneticisi David Wheeler.
Wheeler, yazılım güvenlik açıklarının büyük çoğunluğunun, arabellek taşması veya SQL enjeksiyonu güvenlik açıkları gibi iyi bilinen küçük bir kategori kümesine ait olduğunu söyledi. Geliştiriciler bu yaygın kategorileri öğrendiklerinde, bunların istismar edilmesini zorlaştırabilirler.
Rapor, yazılım geliştiricileri, sistem operatörleri, taahhüt edenler ve bakımcılar dahil olmak üzere 400 sektör profesyonelinin katıldığı bir ankete dayanmaktadır. Anket Mart ve Nisan aylarında gerçekleştirilmiştir.
Federal yetkililer son yıllarda teknoloji endüstrisi ve eğitimcilerin, hem erken geliştirme yaşam döngüsüne hem de yazılım sektöründeki profesyonellerin resmi eğitimine güvenliği dahil etmeleri.
Mayısta, düzinelerce şirket güvenli tasarım uygulamalarını ürün yaşam döngülerine dahil etmek için gönüllü bir taahhüt imzaladı. 160 şirket imzaladı Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın bugüne kadarki güvenli tasarım taahhüdü.