شرکتهای نرمافزاری و تیمهای توسعهدهنده راه درازی در پیش دارند تا کدنویسی امن بخش از فرهنگ آنها شود، اما هماکنون نشانههایی وجود دارد که برنامهنویسان و شرکتهای مربوطه، امنیت را جدیتر میگیرند.
در حالی که 14 درصد برنامهنویسان و توسعهدهندگان، امنیت نرمافزارهای تولیدی خود را جدی میگیرند، حالا طبق نظرسنجی که توسط Secure Code Warrior و Evans Data Corp از 1200 برنامهنویس صورت گرفته مشخص شده که بیش از نیمی از آنها معتقدند که امنیت نرمافزاری در 12 تا 18 ماه آینده اهمیت بیشتری پیدا خواهد کرد.
کیفیت کد، عملکرد نرمافزار و حل مشکلات دنیای واقعی، سه اولویت اصلی (56 درصد) توسعهدهندگان را تشکیل میدهند. Pieter Danhieux مدیرعامل و یکی از بنیانگذاران Secure Code Warrior اذعان کرد که شرکتها در زمینهی گنجاندن فرهنگ کدنویسی ایمن در فرآیند توسعهی نرمافزار پیشرفت داشتهاند اما همچنان چالشهای مهمی پیش رو آنها است.
تنها 14 درصد از برنامه نویسان امنیت نرمافزار را جدی میگیرند
او اضافه کرد که نتایج این نظرسنجی دلگرم کننده است زیرا توسعهدهندگان فعالانه انتظار دارند امنیت نرمافزار به اولویت بالاتری تبدیل شود. Pieter Danhieux در ادامه افزود که شکافی در این رابطه وجود دارد و همهی ما میدانیم که ترک عادتهای قدیمی دشوار است و سازمانها باید مسئولیت ایجاد خلق محیط کاری که فرهنگ کدنویسی ایمن و باکیفیت را ترویج میکند بپذیرند.
نظرسنجی اخیر Secure Code Warrior با مطالعات قبلی در رابطه با گرایش برنامهنویسان نسبت به امنیت نرمافزاری مطابقت دارد. در همین زمینه نتایج یک نظرسنجی از توسعهدهندگان اپن سورس در سال 2020، مشخص کرد که بیشتر برنامهنویسان میخواهند ویژگیهای جدید را امتحان کنند و ابزارها را بهبود ببخشند و حتی روی ایدههای جدید تمرکز کنند، بنابراین امنیت در اولویت آخر آنها قرار میگرفت!
آخرین نظرسنجی در این مورد نشان داد که هنوز قراردادن امنیت در فرآیند توسعه نرمافزار چالشبرانگیز است. حدود نیمی از توسعهدهندگان (48 درصد) آگاهانه کدهای دارای آسیبپذیری را در مرحلهی اجرا و پیادهسازی قرار میدهند! این در حالی است که برخی دیگر معتقداند که بخشی از پروژههایشان شامل آسیبپذیریهای شناخته شده میشود!
48 درصد از توسعه دهندگان برنامه را با آسیبپذیری ارسال میکنند
مشارکتکنندگان در این نظرسنجی دلایل زیادی را برای عدم تمرکز بر امنیت بیان کردند و به عنوان مثال 24 درصد گفتند که زمان کافی برای یکپارچه کردن فرآیند کدنویسی ایمن در اوایل پروژه را نداشتند و 19 درصد دیگر اذعان کردند که شرکتی که در آن کار میکنند برنامهی منسجمی برای پیادهسازی کدنویسی امن در نظر نگرفته است.
با این حال برنامهنویسان میدانند که امنیت بیشتر نرمافزار در دراز مدت برای تیمها کارآمدتر است. بیش از نیمی از پاسخدهندگان (53 درصد) کدنویسی امن را راهی برای از بین بردن آسیبپذیری، خطا و دوباره کاری در آینده میدانند. علاوه بر این 41 درصد عملکرد و امنیت را در پروژههای خود در شرایط مساوی قرار دادهاند و نزدیک به 49 درصد نیز کدنویسی امن را یک هدف اساسی عنوان کردند. Pieter Danhieux در رابطه با برنامهنویسان افزود:
” توسعهدهندگان میخواهند کار خود را خوب انجام دهند. آنها عمداً کدهای ضعیف و آسیبپذیریهای کامپیوتری را ایجاد نمیکنند، اما برای جلوگیری از این مسائل، به آنها باید راه درست را به وسیلهی آموزشهای منطقی نشان داد و زمان کافی را نیز در اختیارشان قرار داد.”
با این حال آموزش امنیت اپلیکیشن همچنان در کل ناکافی است و 30 درصد از برنامهنویسان تمایل دارند آموزش بر روی یک نمونهی واقعی مرتبط با کارشان باشد، در حالی که یک چهارم خواهان آموزش تعاملی در گروه و با اهداف غیرواقعی هستند. در زمینهی libraries و کتابخانههای نرمافزاری نیز پیچیدگی هایی وجود دارد و برخی شرکتها بدون انجام تست امنیت libraries ها و بر مبنای تصور قبلی نسبت به امن بودنشان از آنها استفاده میکنند که این خودش ممکن است ریسکهای امنیتی بیشتری اضافه کند.
با این حال میتوان گفت که هنوز توسعهدهندگان قادر نخواهند بود تمام باگها و آسیبپذیریهای نرمافزاری را برطرف کنند و در آینده دقیقتر مشخص خواهد شد که آیا تلاشها در این زمینه صورت گرفته و اگر آری نتایج آن چگونه بوده است. آیا امنیت نرمافزار باید بخش دائمی از فرآیند توسعه و تحویل آن باشد؟ نظرات خود را در این رابطه برای ما بنویسید.
توسط 
توسط 
توسط 
دیدگاهتان را بنویسید