تقرير يقول إن 20% فقط من المطورين الجدد يتلقون تدريباً على البرمجة الآمنة
وفقاً لتقرير صدر مؤخراً، فإن 20% فقط من المطورين المعينين حديثاً تلقوا تدريباً على البرمجة الآمنة. وهذه مشكلة أكثر أهمية مما قد تبدو عليه في ظل تزايد استخدام التطبيقات يوماً بعد يوم، ولا يفوقها سوى الحاجة المتزايدة إلى البرمجة الآمنة في التطبيقات.
هناك مخاطر لامتلاك فريق من المطورين الذين يفتقرون إلى أفضل الممارسات الأمنية، وقد يتم ارتكاب عدد من التجاوزات الرئيسية بناءً على افتقارهم إلى التدريب على البرمجة الآمنة. يمكن أن يساعد التطوير المستمر والمستهدف للمهارات في تقليل تلك المخاطر بكفاءة.
تعلّم الترميز الآمن
تعلّم الترميز الآمن
نتائج مقلقة
أصدرت ESG مؤخرًا تقرير “أمن تطوير التطبيقات الحديثة. وسلطت الضوء على بعض الثغرات المقلقة في التدريب الأمني للمطورين. فقد أشار هذا الاستطلاع إلى أن 20% فقط من المؤسسات التي شملها الاستطلاع تقدم تدريباً على الترميز الآمن للمطورين الجدد الذين توظفهم. بالإضافة إلى ذلك، قالت 35% من المؤسسات التي شملها الاستطلاع أن أقل من نصف المطورين الذين يعملون لديها يشاركون في تدريب رسمي. والأسوأ من ذلك، أن أقل من 50% من المؤسسات التي شملها الاستطلاع تطلب من مطوريها المشاركة في تدريب رسمي أكثر من مرة في السنة. هذه النتائج تترك المطورين والتطبيقات التي يعملون عليها يعانون من ثغرات خطيرة محتملة في البرمجة الآمنة.
عندما يفتقر المطورون إلى أفضل الممارسات الأمنية
ماذا يحدث عندما لا يكون لدى المطورين أو لا يتم تدريبهم على أفضل الممارسات الأمنية؟ ستكون المؤسسة هي الضحية. عندما لا يكون المطورون على دراية بأفضل الممارسات الأمنية، فمن المرجح أن يتعرضوا للمخاطر الأمنية التي تهدف أفضل الممارسات الأمنية إلى مساعدتك على تجنبها. على سبيل المثال، عندما لا يطبق المطورون الامتيازات الأقل، يمكن أن يكون التطبيق في خطر لأن حقوق الوصول غير الضرورية يمكن أن تؤدي إلى سيناريو كابوسي. إن أفضل الممارسات الأمنية هي نتاج سنوات من الخبرة في مجال أمن المعلومات، ولا يوجد عذر وجيه لعدم الاهتمام بالتوجيهات الأمنية القوية التي تقدمها أفضل الممارسات الأمنية لمن لديهم “عيون ترى وآذان تسمع” كما يقول المثل.
عندما يفتقر المطورون إلى أفضل الممارسات الأمنية فإن ذلك سيصيب المؤسسة في جيبها. ووفقًا لمدير الحوسبة الجديرة بالثقة في مايكروسوفت، تيم رينز، فإن استخدام الترميز الآمن يؤدي إلى بعض الوفورات الحقيقية في التكاليف بالنسبة للمؤسسة. عندما لا يكون لدى المطورين أفضل الممارسات الأمنية، ستخسر المؤسسة هذا التوفير في التكاليف عندما يعاني مطوروها من عثرات على طول دورة حياة تطوير التطبيقات.
السهو الرئيسي بسبب عدم وجود تدريب على البرمجة الآمنة
كانت الأمثلة على ما يمكن أن يحدث لمؤسسة ما عندما لا يكون لدى فريق التطوير لديها تدريب آمن مجرد لمحة عن حجم هذه المشكلة. عندما لا يحصل المطورون على تدريب على البرمجة الآمنة، فإن ذلك يؤدي إلى نمط سيء عند بدء تطوير التطبيقات. وكلما استغرق الأمر وقتاً أطول للعثور على الثغرة الأمنية التي أدخلها المطورون، كلما كان تحديد الثغرات وإصلاحها أكثر تكلفة.
فيما يلي أهم الثغرات التي من المحتمل أن يرتكبها المطورون الذين يفتقرون إلى التدريب على البرمجة الآمنة أثناء إنشاء تطبيق ويب:
الحقن
المصادقة المعطلة
انكشاف البيانات الحساسة
كيانات XML الخارجية (XXE)
التحكم في الوصول المعطل
التكوينات الأمنية الخاطئة
البرمجة النصية عبر المواقع (XSS)
إلغاء التسلسل غير الآمن
استخدام مكونات ذات نقاط ضعف معروفة
عدم كفاية التسجيل والمراقبة
إذا كنت منتبهًا، فهذه هي أهم 10 ثغرات أمنية في مشروع أمن تطبيقات الويب المفتوح (OWASP). مجتمع OWASP على الإنترنت مخصص لأمن تطبيقات الويب. إنها نقطة انطلاق قوية للتدريب على البرمجة الآمنة لأنها تقدم أهم نقاط الضعف التي يجب أن تكون في ذهن كل مطور عند البرمجة.
تطوير المهارات المستهدفة للحد من المخاطر بكفاءة
في حين أنه من المخيف بعض الشيء كيف يمكن أن يكون تطوير التطبيقات التي لا تستجيب لنداء البرمجة الآمنة مدمراً بعض الشيء، إلا أنه يمكن تقليل المخاطر بكفاءة من خلال تطوير المهارات المستهدفة. يمكن تحقيق تنمية المهارات المستهدفة من خلال تقديم تدريب آمن على البرمجة الآمنة للمطورين، والذي سيكون أكثر فعالية إذا بدأ المطورون في تلقي هذا التدريب بمجرد تعيينهم. أفضل ما في ذلك هو أنك لست مضطرًا لإنشاء برنامج لتنمية المهارات المستهدفة. هناك بالفعل العديد من الموارد المتاحة لهذا التدريب. فيما يلي نظرة على بعض الموارد المتاحة للتدريب على البرمجة الآمنة:
OWASP Top 10: إذا كان هناك معيار عام لتطوير المهارات المستهدفة للبرمجة الآمنة، فإن OWASP Top 10 هو على الأرجح هذا المعيار. إنها أهم موارد التدريب الأساسية للبرمجة الآمنة وتحتوي على العناصر الأساسية التي يحتاج المطورون إلى معرفتها.
تعداد نقاط الضعف الشائعة (CWE): يقدمه معهد MITRE، ويتضمن أكثر من 700 نقطة ضعف معروفة يمكن الاطلاع عليها من خلال مفاهيم التطوير والبحث والمفاهيم المعمارية. كما تدرب المشاركين على قائمة نقاط الضعف والتعرض الشائعة (CVE).
“24 خطيئة مميتة لأمن البرمجيات”: هذا المورد هو كتاب يركز على الثغرات الأمنية النموذجية التي ستواجهها أثناء التطوير. ويتضمن بعضًا من أفضل 10 عيوب في قائمة OWASP بالإضافة إلى بعض العيوب التي لم ترد في القائمة.
OWASP Security by Design Principles: تم إنشاء هذا المورد من قبل OWASP، وهو يقدم إرشادات لتطوير التطبيقات الآمنة في مرحلة التصميم.
تعلم الترميز الآمن
تعلم الترميز الآمن
تقليل المخاطر من خلال التدريب على الترميز الآمن
تتمثل إحدى أكبر المشاكل في تطوير التطبيقات اليوم في أن واحدًا فقط من كل خمسة مطورين تلقى تدريبًا على الترميز الآمن. يمكن أن يكلف ذلك المؤسسات التي تهمل التدريب على الترميز الآمن عندما تضطر إلى التراجع وإصلاح نقاط الضعف التي كان من الممكن منعها منذ البداية من خلال التدريب المناسب. الشيء الجيد هو أن تطوير المهارات المستهدفة فيما يتعلق بالبرمجة الآمنة للمطورين يمكن أن يسد هذه الفجوة في المهارات ويساعد في منع الضرر الذي يمكن أن يسببه نقص التدريب على البرمجة الآمنة.
المصادر:
كيف يمكن لـ 80% من المؤسسات التغلب على نقص تدريب المطورين، Veracode.
دراسة: غالبية المطورين في الولايات المتحدة لا يستخدمون عمليات ترميز آمنة، مجلة Visual Studio.
تقرير يقول إن 20% فقط من المطورين الجدد يتلقون تدريباً على البرمجة الآمنة
About the Author
