Тревожна статистика: 1/3 от разработчиците на софтуер не умеят да пишат сигурен код
Ограниченията във времето пречат на ИТ експертите да овладеят даже минимална базова база на осведомителна сигурност...
Емил Василев 11:45 | 22.07.2024 0 СподелиНай-четени
IT НовиниДаниел Десподов - 18:00 | 20.07.2024Рей Курцвейл самоуверено съобщи, че първият човек, който ще живее 1000 години, към този момент е роден
IT НовиниЕмил Василев - 10:31 | 19.07.2024Публикуван е видеозапис от 1983 година, в който Стив Джобс приказва за бъдещето на компютрите
IT НовиниДаниел Десподов - 18:56 | 20.07.2024Exodus Effect: този мотор без гориво опонира на законите на физиката, само че може и да проработи
Емил Василевhttps://www.kaldata.com/Неотдавнашно изследване на OpenSSF и Linux Foundation демонстрира, че съвсем 1/3 от експертите, които основават и внедряват програмен продукт не са осведомени с практиките за сигурна разработка.
Това е изключително тревожно, защото те са тези, които генерират и поддържат кода, върху който работят приложенията и системите на доста огромни компании.
Дейвид А. Уилър, шеф по сигурността на веригата за доставки с отворен код във фондация Linux означи, че потреблението на уязвимости в софтуера може да има пагубни последствия. Той акцентира на нуждата от образование на разработчици от всички равнища на подготовка по въпросите на безвредното програмиране.
Според Уилър един от основните проблеми е неналичието на образование за създаване на сигурен програмен продукт. Много експерти не знаят от кое място да стартират и се учат в придвижване. Ето за какво е извънредно значимо просветителните стратегии за несъмнено създаване да станат приоритет за цялата промишленост.
Резултатите от изследването демонстрират, че фокусът на актуалните просветителни стратегии е върху функционалността и успеваемостта, до момента в който образованието по сигурност постоянно се подценява.
Също по този начин 69% от експертите разчитат на практическия опит като главен източник на образование, само че са нужни най-малко 5 години подобен опит, с цел да се доближи до главно равнище на знания за сигурността.
Основните провокации пред използването на практиките за безвредно програмиране са неналичието на време (58%) и неналичието на осведоменост и образование (50%). Освен това 44% от интервюираните в никакъв случай не са посещавали курс за безвредно програмиране заради липса на информация за положителни курсове по тематиката.
Най-голяма липса на знания е в региона на безвредното създаване на програмен продукт, оповестяват разработчиците с по-малко от една година опит (75%), като тази цифра спада до 72% при експертите с опит от 1 до 2 години.
Много експерти в региона на създаването на програмен продукт избират неофициалните способи на образование пред университетските курсове. Най-разпространено е самообучението, като 74% от интервюираните употребяват онлайн уроци, видеоклипове и книги.
Кристофър „ CRob “ Робинсън от Intel, съпредседател на Специалната група по ползи (SIG) на OpenSSF за обучение и ръководител на Техническия съвещателен съвет (TAC) на OpenSSF съобщи, че първата стъпка в решаването на казуса със сигурната разработка на програмен продукт е да се признае съществуващата липса на познания и да се дефинират предпочитаните области за в допълнение образование.
Организациите се нуждаят от разнородни курсове, без значение от съответните езици за програмиране, с цел да запълнят пропуските в образованието и да оказват помощ на ИТ личния състав да ръководи по-добре сигурната разработка. Важни области за бъдещи нововъведения и мощен фокус върху разработчиците са областите на сигурността в изкуствения разсъдък (57%) и във веригата за доставки (56%).
Обучението в региона на сигурността има за цел да увеличи осведомеността на чиновниците и да употребяват тези познания при създаването и внедряването на сигурен програмен продукт. В последна сметка сигурната разработка на програмен продукт включва писане на резистентен на офанзиви първоначален код, който обезпечава спомагателен пласт отбрана и вграждане на сигурността в софтуерните артикули през цялото време.
