Тревожная статистика: треть разработчиков ПО не умеет писать безопасный код

Недавние исследования OpenSSF и Linux Foundation показывают, что почти треть профессионалов, занимающихся созданием и развёртыванием программного обеспечения, не знакомы с практиками безопасной разработки. Это особенно тревожно, поскольку именно они генерируют и поддерживают код, на котором работают множество приложений и систем крупных компаний.

Дэвид А. Уилер, директор по безопасности цепочки поставок с открытым исходным кодом в Linux Foundation, отметил, что эксплуатация уязвимостей в программном обеспечении может привести к катастрофическим последствиям. Он подчеркнул необходимость обучения разработчиков всех уровней мастерства безопасному кодированию.

По словам Уилера, одной из ключевых проблем является нехватка образования в области безопасной разработки ПО. Многие специалисты не знают, с чего начать, и учатся на ходу. Именно поэтому крайне важно, чтобы образовательные программы по безопасной разработке стали приоритетом для всей отрасли.

Результаты опроса показывают, что основное внимание в текущих образовательных программах уделяется функциональности и эффективности, в то время как обучение безопасности часто игнорируется. Также 69% специалистов полагаются на практический опыт как основной источник обучения, однако для достижения базового уровня знаний в области безопасности требуется как минимум пять лет такого опыта.

Основными проблемами внедрения безопасных методов разработки являются нехватка времени (58%), а также недостаток осведомлённости и обучения (50%). Кроме того, 44% респондентов никогда не проходили курсы по безопасной разработке из-за незнания хороших курсов по этой теме.

Наибольшую нехватку знаний в области безопасной разработки отмечают разработчики с опытом работы менее одного года (75%), этот показатель снижается до 72% у специалистов с опытом от одного до двух лет.

Многие профессионалы в области разработки ПО предпочитают неформальные методы обучения университетским курсам. Самостоятельное обучение наиболее распространено — 74% респондентов используют онлайн-руководства, видео и книги.

Кристофер «CRob» Робинсон из Intel, сопредседатель OpenSSF Education Special Interest Group (SIG) и председатель OpenSSF Technical Advisory Council (TAC), отметил, что первый шаг в решении проблемы безопасной разработки — признание существующего разрыва в знаниях и определение приоритетных областей для дополнительного обучения.

Организациям необходимы различные курсы, не зависящие от конкретных языков программирования, чтобы заполнить пробелы в образовании и помочь IT-персоналу лучше справляться с безопасной разработкой. Важными областями для будущих инноваций и пристального внимания разработчиков являются сферы безопасности в ИИ (57%) и в цепочке поставок (56%).

Обучение и руководство по безопасности направлены на повышение осведомлённости сотрудников и использование этих знаний при разработке и развёртывании безопасного программного обеспечения. В конечном итоге, безопасная реализация в разработке ПО включает написание исходного кода, устойчивого к атакам, что обеспечивает дополнительный уровень защиты и встраивание безопасности в программные продукты с самого начала.