Согласно недавнему исследованию компании Tromzo, 42% разработчиков раз в месяц публикуют уязвимый исходный код, причем только треть подобных уязвимостей разработчики сами потом устраняют. Эти данные основаны на опросе 402 профессиональных разработчиков и инженеров различных уровней специализаций из американских компаний, использующих инструменты концепции непрерывной интеграции и доставки (CI/CD).
Исследование Tromzo показало, что многие разработчики регулярно игнорируют проблемы безопасности при выполнении своих обязанностей. Это происходит зачастую из-за того, что смежные отделы тестирования и безопасности слишком часто без конкретики требуют от разработчиков, которые и так нагружены очень сильно, исправить ранее найденные ими уязвимости без градации по их критичности.
Эксперты Tromzo отмечают: многие разработчики считают, что поиск и исправление уязвимостей не является их обязанностями, так как у них есть другие первостепенные задачи, которые ставит перед ним компания. Многие просто откладывают эти проблемы в очереди задач, а потом удаляют их из списка работы или игнорируют. В итоге почти каждый второй разработчик раз в месяц публикует уязвимый код сознательно, так как считает, что он не несет ответственности за исправление кода до того, как он будет отправлен в рабочий проект.
Причиной того, что разработчики находят только треть уязвимостей в своем коде, в Tromzo объяснили большим количеством ложноположительных уведомлений безопасности, которые в день получают сотрудники. Они пытаются разобраться в этом большом объеме информации и часто пропускают нужные детали и не видят, где действительно нужно внести исправления. С опытом по работе с безопасностью кода они могут лучше отличать реальные проблемы от ложноположительных, но это умеют лишь немногие из разработчиков даже высокого уровня грейдов.
Примечательно, что четверть опрошенных разработчиков вообще считают, что разработка и безопасность это две разные задачи, так как в компании есть команды тестировщиков и безопасников, которые должны искать подобные проблемы, но работают отдельно и зачастую без налаженного уровня коммуникации между командами.
Эксперты Tromzo рекомендуют компаниям проявлять более лояльную позицию без давления по дедлайнам по отношению к разработчикам, тестировщикам и безопасникам, чтобы они работали слаженно и продуктивно. Только в этом состоянии, когда есть хорошие коммуникации между командами, разработчики понимают все риски, связанные с распространением небезопасного кода, и серьезнее относятся к безопасности, а не игнорируют ее или пытаются переложить эти проблемы на смежные отделы, вместо того, чтобы регулярно устранять уязвимости в своем коде.
