安全开发、意识先行！Linux基金会和OpenSSF发布安全软件开发教育状况报告

当地时间2024年7月16日, Linux基金会和开源安全基金会(OpenSSF) 发布一份新报告，题为《2024 年安全软件开发教育调查：了解当前需求》。该分析基于对近400 名软件开发专业人士的调查，探讨了安全软件开发的现状，并强调了对正规化行业教育和培训计划的迫切需求。正如开放源代码安全基金会（OpenSSF）教育特别兴趣小组联合主席Dave Russo所言，无论开发者工具变得多么复杂，设计和编写代码的个人知识和心态对其整体质量影响最大，尤其是在安全开发方面。理解开发人员需要知道什么，以及有效地以易于消化的方式向他们传递这些信息，是使他们能够将安全实践牢记在心并能够有效实施它们的关键。OpenSSF安全软件开发教育调查的结果强调了这些教育材料的必要性以及它们将带来的好处。

调研背景

在数字化时代，软件安全性是保护个人和国家安全的基石。然而，随着软件在各个领域的广泛应用，软件漏洞带来的风险也日益凸显。数据泄露不仅给企业带来巨大的经济损失，更对用户隐私和国家安全构成威胁。尽管安全软件开发的重要性日益增加，但现实情况是，许多开发人员在实施安全编码实践方面缺乏必要的知识和技能。本调研旨在探讨当前软件开发教育中安全培训的缺失，以及如何通过改进教育和实践来提升软件的整体安全性。

攻击者不断发现和利用软件漏洞，凸显了强大的软件安全性日益重要。尽管如此，许多开发人员仍然缺乏有效实施安全软件开发的基本知识和技能。报告中概述的调查结果显示，直接参与开发和部署的所有专业人员（系统运营、软件开发人员、提交者和维护人员）中，近三分之一的人自称对安全软件开发实践不熟悉。这尤其令人担忧，因为他们是创建和维护运行公司应用程序和系统的代码的最前线人员。

解决安全软件开发的第一步是认识到现有的知识差距，并确定优先领域以创建额外的培训。本着这一目标，开源安全基金会（OpenSSF）和Linux基金会（LF）研究合作，对全球软件开发专业人员进行了一项调查，以评估他们对安全软件开发教育的需求。这项研究旨在促进以“设计安全”为方向的软件开发者教育方法，并加强安全教育项目。

主要发现

调查结果显示，安全意识缺乏可能是由于目前大多数教育项目都注重功能性和效率，而往往忽视了必要的安全培训。此外，大多数专业人士（69%）依靠在职经验作为主要学习资源，但至少需要五年这样的经验才能达到最低程度的安全熟悉程度。

本次调查的其他主要发现包括：

缺乏时间（58%）和缺乏意识和培训（50%）是组织内实施安全软件开发实践最常见的两个挑战。
不参加安全软件开发课程的首要原因（44％）是缺乏有关该主题的优秀课程的了解。
自主学习方式最为普遍，74%的受访者表示他们主要使用在线教程、视频和书籍等资源作为学习方式。
人工智能（57%）和供应链（56%）等新兴安全问题被视为未来创新和关注的关键领域。

Linux基金会开源供应链安全总监David A. Wheeler表示：“我们一次又一次地看到利用软件漏洞导致灾难性后果，这凸显了各级开发人员迫切需要具备编写安全代码的充分知识和技能。”“我们的研究发现，一个关键挑战是缺乏安全软件开发教育。从业者不确定从哪里开始，而是边做边学。显然，全行业努力将安全开发教育放在首位必须成为优先事项。”OpenSSF提供有关开发安全软件的免费课程 (LFD121) 并鼓励开发人员从这门课程开始。

“解决安全软件开发问题的第一步是认识到现有的知识差距并确定创建额外培训的重点领域，”英特尔OpenSS 教育特别兴趣小组 (SIG) 联合主席兼OpenSSF技术咨询委员会 (TAC)主席 Christopher Robinson表示。“基于这些发现，OpenSSF将创建一个关于安全架构的新课程，该课程将于今年晚些时候推出，这将有助于在软件开发人员教育中推广‘设计安全’方法。”

主要结论

调查报告总结了安全软件开发领域教育与知识培训的不足，并强调了提升开发人员安全意识的重要性。许多开发人员，即便是经验丰富的，也缺少对安全开发实践的了解。目前，大多数专业人士主要依赖于在职经验来学习安全开发，这一过程耗时且效率不高。因此，新课程材料的引入对于加快开发人员掌握安全开发知识至关重要。

调查结果特别强调了对语言无关的安全架构、安全教育、指导和实施课程的需求，以及对Python语言特定培训的明显需求。此外，不同专业角色和经验水平的开发人员对培训内容的需求差异很大，这表明需要提供多样化的教育选项。

OpenSSF通过推出安全架构新课程，并在Linux基金会的通讯和其他材料中增加对现有教育材料的引用，正朝着提高安全软件开发教育的可用性和质量迈出重要步伐。公开调查数据旨在鼓励业界进一步探索和应用这些见解，推动在软件开发教育中形成“设计安全”的文化。最终，确保开发人员具备实施安全软件开发的必要技能和知识，对于建立能够保护敏感数据和维护用户信任的强大系统至关重要。

关于OpenSSF

开源安全基金会 (OpenSSF) 是Linux基金会发起的一项跨行业计划，旨在将业界最重要的开源安全计划以及支持这些计划的个人和公司聚集在一起。OpenSSF致力于与上游和现有社区合作，以推进开源安全。

关于Linux基金会

Linux基金会是全球领先的开源软件、硬件、标准和数据协作机构。Linux基金会项目对全球基础设施至关重要，包括Linux、Kubernetes、Node.js、ONAP、OpenChain、OpenSSF、PyTorch、RISC-V、SPDX等。Linux基金会专注于利用最佳实践并满足贡献者、用户和解决方案提供商的需求，以创建可持续的开放协作模式。

参考资源

1、https://www.darkreading.com/application-security/the-linux-foundation-and-openssf-release-report-on-the-state-of-education-in-secure-software-development

2、https://www.linuxfoundation.org/research/software-security-education-study?utm_campaign=Q2-2024-Developing-Secure-Software&utm_source=Press%20Release