MicrosoftInternetExplorer402DocumentNotSpecified7.8 磅Normal0
美国新思科技公司 (Synopsys,Nasdaq: SNPS)近日发布了《现代应用程序开发安全安全开发》报告。根据行业分析公司Enterprise Strategy Group (ESG)调查网络安全和应用程序开发专业人员报告重点介绍了安全团队对现代发展和部署实践的理解,以及需要采取哪些安全控制措施来降低风险。研究发现,近一半(48%)因时间压力而调查受访者,仍会提交易受攻击的代码。研究还表明,43%受访者说DevOps整合对提高应用安全计划至关重要。
免费点击下载《现代应用程序开发安全安全开发》报告。
ESG资深分析师Dave Gruber表示:“DevSecOps安全已经放在现代发展领域的前面端和核心然而,安全和开发团队业务指标不同,很难达成统一的目标。大多数安全团队对现代应用程序开发实践缺乏了解加剧了这一挑战。向微服务架构的转型,以及对容器和无服务器模式的使用已经改变了开发人员构建、测试和部署代码的方式。”
新思科技委托权威IT分析研究机构ESG,记录开发团队和网络安全团队之间应用程序安全解决方案的部署和管理现状和见解。ESG对378名负责IT、采访和调查了网络安全和应用程序开发的专业人员。安全应用程序开发技术深入了解和负责这方面的工作,或者采用安全开发工具和工艺开发应用程序。受访者在美国和加拿大的许多行业工作,包括制造业和金融业、建筑与工程行业和商业服务业等。
新思科技软件质量与安全部门产品市场总监Patrick Carey表示:“这项研究的关键见解凸显了企业应用程序安全需要在整个开发生命周期中得到充分处理。仍提交易攻击代码企业中,45%是因为在开发周期中发现漏洞太晚,无法及时解决。这再次说明了安全左移在开发过程中的重要性,开发团队需要能够继续接受培训,并能够继续接受培训在当前流程提供补充工具解决方案,使其能够在不影响速度的情况下安全编码。”
研究的主要发现包括:
·大多数组织认为他们的应用程序安全计划都是可靠的,尽管许多组织仍然会提交易被攻击的代码。69%受访者将他们现有计划的有效性评为8分数或更高,分数从0分到10分(其中10分数表示最有效)。但是,因为近一半企业仍然定期提交易受攻击的代码,因此大多数组织在过去12个月遭受到OWASP Top10漏洞入侵其生产应用程序。
·DevOps整合是改进的关键因素。四分之一以上的受访者表示,他们目前的应用程序安全工具增加了摩擦,减缓了开发周期,23%受访者认为与开发有关/ DevOps工具的不良集成是最常见的挑战。26%受访者指出,不同应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是应用程序安全的常见挑战。
·开发人员在应用程序安全中起着重要作用,但缺乏技能和培训。近三分之一(29%)受访者说,企业内部开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且只是17%受访者表示,他们的开发人员使用他们的安全工具中提供的即时训练,只有29%受访者被要求每季度至少参加一次培训。
·企业计划增加应用程序的安全支出。超过一半(51%)受访者表示,计划未来12应用安全支出在一个月内大幅增加。44%受访者计划安全投资应用程序瞄准云端。
·AppSec工具的激增正在推动许多组织投资于工具整合。许多组织正在努力整合和管理现有的工具安全计划的有效性往往会降低,管理工具需要安排太多的资源。72%使用受访者的工具超过10种子,复杂性成为了一个因此,超过三分之一的受访者专注于整合投资。
点击下载了解更多信息《现代应用程序开发安全性》报告。