Разделы

Работа

61% программистов пренебрегает безопасностью при разработке

Почти две трети профессиональных разработчиков признают, что их компании-работодатели создают свои продукты и сервисы, пренебрегая правилами безопасности при разработке, демонстрирует новый опрос, проведенный Microsoft.

«Пришла пора отойти от единичных случаев обеспечения безопасной разработки, - заявил Стив Липнер, директор подразделения Microsoft Trustworthy Computing, осуществлявшей исследование для Microsoft. - Нам следует перейти к внедрению лучших практик безопасной разработки, которые зарекомендовали себя как действенные, по всей индустрии».

Опрос Trustworthy Computing показал, что 61% разработчиков не используют существующие методы предотвращения уязвимостей, такие как рандомизация расположения в адресном пространстве (address space layout randomization, ASLR). «Тем самым они вводят в код потенциальные уязвимости, способные привести к действительно опасным последствиям», - пояснил Липнер.

Однако в реальном мире разработчики зачастую вынуждены создавать новую функциональность на недавно вышедших и развивающихся платформах, и перед этими задачами безопасность отходит на второй план, отметил он.

По мере того, как интернет все прочнее входит в жизнь, пренебрежение технологиями безопасности может иметь серьезные последствия, утверждает Липнер. Поэтому сотрудникам отделов разработки следует всерьез задуматься, насколько развиты их навыки обеспечения безопасности и применяются ли они в процессе разработки в их компании.

По словам Липнера, Microsoft придерживается мнения, что безопасность имеет большое значение в проектировании и разработке, но представители индустрии не уделяют ей того внимания, которого она заслуживает.

Недостаточная распространенность безопасной разработки, по результатам опроса, имеет три основных причины, лежащих в плоскости организации рабочего процесса в ИТ. Во-первых, менеджеры ИТ-компаний не придают этому вопросу достаточного значения, стремясь как можно быстрее выпустить готовые продукты и сервисы на рынок. Во-вторых, самим разработчикам не хватает дополнительного обучения и поддержки в вопросах безопасности. Наконец, ИТ-компании зачастую игнорируют данный аспект, поскольку считают, что он оттягивает выход релиза и приносит дополнительные расходы.

Пытаясь помочь компаниям преодолеть эти препятствия, Microsoft в этом году стала одним из спонсоров Security Development Conference 2013 - конференции, посвященной вопросам безопасности в разработке, сообщил Липнер.

Одним из путей решения проблемы может стать создание стандартов безопасности и неукоснительное следование им. «Мы уверены, что при наличии стандартов, практик и требований, руководству ИТ-компаний будет проще понять, что им следует делать», - уверен Липнер.

CNews Analytics: Рейтинг операторов фискальных данных 2024
ритейл

Сама Microsoft объявила о решении обязать своих разработчиков учитывать в своей работе стандарт безопасности приложений ISO 27034, в частности, его первую часть. Приложение А к стандарту ISO 27034 приводит цикл безопасной разработки Microsoft (Security Development Lifecycle, SDL) в качестве примера внедрения стандарта в реальной компании.

Microsoft начала разрабатывать SDL около 10 лет назад, а в 2007 г. сделала свой корпоративный стандарт доступным широкой публике. Компания опубликовала несколько документов, описывающих внедрение SDL в отдельных секторах индустрии, последним из которых стал сектор здравоохранения.

Иллюстрации внедрения процесса, оптимизированные под каждую индустрию, способны помочь убрать барьер, отделяющий её от безопасной разработки, полагают в Microsoft. В дополнение к документам по SDL Microsoft предоставляет для свободного скачивания необходимые инструменты, такие как приложение для моделирования угроз, и руководства по SDL, к примеру, в области гибкой разработки.

Марина Яловега, «Группа Астра»: Соискателям интересны амбициозные ИТ-проекты, значимые для страны
Цифровизация

Microsoft считает, что ISO 27034 способен помочь менеджерам компаний организовать управление процессом разработки на стороне поставщика, и хочет услышать вопросы со стороны организаций-потребителей.

«Интернет должен стать более безопасным, и этот то, чего стремится добиться Microsoft, спонсируя конференции и выпуская информацию и инструментарий», - подвел итог Липнер.

Любовь Касьянова