CA Southern Africa раскрыла тонкости отчета Veracode Territory of Programming Security за 2023 год, в котором описаны факторы, представляющие недостатки в улучшении приложений, и способы их устранения.
«Что касается программ безопасности приложений, которые изолируют центр пакета от передней (или задней) линии разработки?» — спрашивает Крейг де Лукки, руководитель отдела записи, Калифорния, Южная Африка. «Решение этой проблемы заключается в том, что, по-видимому, небольшие показатели, которые в долгосрочной перспективе превращаются в большие контрасты, в дополнение к факторам, на которые можно повлиять, являются дифференцирующими факторами», — говорит он.
Далее следуют предложения Veracode погасить обязательства по обеспечению безопасности и постараться не представлять недостатки безопасности, которые накапливаются в течение существования использования.
Увеличить кривую
«Это указывает на изгиб исправления — он должен исчезнуть раньше и быстрее, поскольку, когда приложению исполняется два года, мы видим, что недостатки накапливаются, из-за чего что-то происходит с приложением или с группами, создающими их. Будь то увеличение сложности приложений за счет длительных отрезков последовательной разработки или уменьшение сосредоточенности вокруг создания приложений в долгосрочной перспективе, естественный пример восходящего наклона очевиден. Мы действительно понимаем, что когда приложению исполнилось 10 лет, с вероятностью 90% оно имеет что-то вроде одного недостатка.
«В отчете отмечается, что группы по улучшению должны делать все возможное, чтобы уменьшить количество элементов, которые приводят к накоплению несовершенств по мере того, как приложения проходят свой жизненный цикл».
Отдавайте приоритет автоматизации и обучению разработчиков
Veracode строго предписывает дизайнерскую подготовку, которая, как оказалось, исключительно эффективна в предотвращении появления дефектов. Отчет показывает, что организации, прошедшие не менее одного курса Veracode Security Labs, добились сокращения времени восстановления на 35%», — говорит де Лукки.
Veracode проанализировала переменные, влияющие на исправление, и отделила их, чтобы понять, как они помогают предотвратить появление дефектов в любом случае. «К счастью, такие вещи, как скорость вывода, проверка с помощью интерфейса программирования и инженерная подготовка безопасности, остаются полезными как для представления дефектов, так и для их исправления», — добавляет он.
Идентификация обычных недостатков (CWE) — это созданный в локальной области список типов обычных программ и недостатков оборудования, которые имеют последствия для безопасности. Veracode установил, что знакомство инженеров с представленными классами CWE (и, что удивительно, отдельными CWE) является хорошей отправной точкой для создания специальных программ подготовки. Не представлять недостатки в любом случае является положением дел. Компьютеризация может быть в стадии разработки для некоторых групп разработчиков, но подготовка достижима и должна быть действительно важной, учитывая ее преимущества. Для тех групп, которым нужна более быстрая прибыль от временного предприятия, подумайте о том, чтобы сосредоточиться на основных дефектах и CWE для используемых диалектов. Отчет Veracode дал четкое указание на лучший способ уменьшить количество дефектов, представленных в любом случае.
Настроить управление жизненным циклом приложений
Veracode строго предписывает дизайнерскую подготовку, которая, как оказалось, исключительно эффективна в предотвращении появления дефектов. Отчет показывает, что организации, прошедшие не менее одного курса Veracode Security Labs, добились сокращения времени восстановления на 35%», — говорит де Лукки.
Veracode проанализировала переменные, влияющие на исправление, и отделила их, чтобы понять, как они помогают предотвратить появление дефектов в любом случае. «К счастью, такие вещи, как скорость вывода, проверка с помощью интерфейса программирования и инженерная подготовка безопасности, остаются полезными как для представления дефектов, так и для их исправления», — добавляет он.
Идентификация обычных недостатков (CWE) — это созданный в локальной области список типов обычных программ и недостатков оборудования, которые имеют последствия для безопасности. Veracode установил, что знакомство инженеров с представленными классами CWE (и, что удивительно, отдельными CWE) является хорошей отправной точкой для создания специальных программ подготовки. Не представлять недостатки в любом случае является положением дел. Компьютеризация может быть в стадии разработки для некоторых групп разработчиков, но подготовка достижима и должна быть действительно важной, учитывая ее преимущества. Для тех групп, которым нужна более быстрая прибыль от временного предприятия, подумайте о том, чтобы сосредоточиться на основных дефектах и CWE для используемых диалектов. Отчет Veracode дал четкое указание на лучший способ уменьшить количество дефектов, представленных в любом случае.
