Venafi：谁来提高软件开发环境中的安全性，调查结果仍存争议

近日，Venafi公布了一项全球调查的结果，该调查评估了SolarWinds/SUNBURST、CodeCov和Kaseya/REvil等软件供应链攻击对开发组织如何改变其方法以确保软件构建和交付环境的影响。

这项调查评估了超过1,000名信息安全专家、开发人员和IT及软件开发业界高管的意见。

安全与开发团队之间的不协调

调查结果显示，受访者几乎一致同意(97%)，用于攻击SolarWinds软件开发环境的技术和恶意程序将会在2021年的一些新攻击中被重复使用。

但调查也显示出一个矛盾的结果——尽管有这种确定性，安全团队和开发团队之间并没有一致意见，哪个团队应该负责提高软件构建和分发环境中的安全性。例如，当被问及谁主要负责提高软件开发环境的安全性时，48% 的受访者表示是由他们的安全团队负责，同时也有48%的受访者表示是由他们的开发团队负责。

Venafi的凯文·博切克(Kevin Bocek)表示，“虽然通过SUNBURST对SolarWinds发起的攻击并不是此类攻击的第一次，但它肯定是迄今为止最严重的一次。这一情况警示我们，每个组织都必须采取紧急、实质性的行动来改变我们保护软件构建及交付的方式，将相关的安全建设摆在应有的重要位置上。”

凯文·博切克认为，如果连谁该为保障开发环境的安全性负责这一点都不能达成一致，那么显而易见的是，距离有意义的改变还很遥远，在这样的情况下去期望问题能够得以解决的想法都是自欺欺人的。

在软件开发环境中对安全的信心和责任

80%的受访者表示，在抵御针对软件构建环境的攻击的能力方面，他们对自己的组织没有百分之百的信心。

69%的开发者认为开发者自己应该要对软件构建过程中的安全性负责，然而，来自安全团队受访者中有67%的人认为这是安全团队的责任。

当被问及谁应该为他们组织的软件构建过程中的安全负责时，来自安全团队的受访者中有58%的人表示应该由他们负责，而来自开发团队的受访者中有53%的人表示应该由他们负责。相比之下，应该有两方共同分担责任的则只占受访者总数的8%。

“正如这些调查结果所表明的那样，大多数组织都没有明确哪个团队去发起或下达指令去进行有针对性的安全改进。目前看，将未来的攻击风险降至最低的唯一方法，是让开发人员能够在不影响安全性的情况下，快速从创意到生产。”Bocek 继续说道。

“在软件开发中，速度和安全是不可分割的。就像研发一级方程式赛车的工程师一样，必须要同时考虑性能和安全，软件开发人员也需要对两者负责。为了实现这一点，开发人员显然需要来自安全团队的帮助和支持。同时，组织的高管们也需要采取行动，确保清晰的权责。”