飛象網(wǎng)訊 隨著應(yīng)用程序安全日趨成熟,任何單一的測試技術(shù)都無法幫助開發(fā)團隊降低全部安全風險。為了確保如今種類繁多的應(yīng)用程序開發(fā)與部署模型的安全,企業(yè)需要使用各種各樣的安全測試工具。
美國新思科技公司 (Synopsys, Nasdaq: SNPS)近日發(fā)布了《現(xiàn)代應(yīng)用程序開發(fā)安全》報告。根據(jù)行業(yè)分析公司Enterprise Strategy Group (ESG)對網(wǎng)絡(luò)安全和應(yīng)用程序開發(fā)專業(yè)人員進行的一項調(diào)查,該報告著重說明了安全團隊對現(xiàn)代開發(fā)和部署實踐的了解程度以及需要采取哪些安全控制措施以降低風險。該研究發(fā)現(xiàn),將近一半(48%)的調(diào)查受訪者因時間壓力,仍會提交易受攻擊的代碼。研究還表明,43%的受訪者表示DevOps集成對于改善應(yīng)用安全計劃至關(guān)重要。
點擊免費下載《現(xiàn)代應(yīng)用程序開發(fā)安全》報告。
ESG資深分析師Dave Gruber表示:“DevSecOps已在現(xiàn)代開發(fā)領(lǐng)域中將安全放在了前端和核心的位置;然而,安全和開發(fā)團隊業(yè)務(wù)指標不同,很難達成統(tǒng)一的目標。大多數(shù)安全團隊缺乏對現(xiàn)代應(yīng)用程序開發(fā)實踐的了解,也進一步加劇了這一挑戰(zhàn)。向微服務(wù)架構(gòu)的轉(zhuǎn)型,以及對容器和無服務(wù)器模式的使用已經(jīng)改變了開發(fā)人員構(gòu)建、測試和部署代碼的方式!
新思科技委托權(quán)威IT分析和研究機構(gòu)ESG,記錄有關(guān)開發(fā)團隊和網(wǎng)絡(luò)安全團隊之間有關(guān)應(yīng)用程序安全解決方案部署和管理的現(xiàn)狀和見解。ESG對378名負責IT、網(wǎng)絡(luò)安全和應(yīng)用程序開發(fā)的專業(yè)人員進行了采訪和調(diào)研。受訪者對安全的應(yīng)用程序開發(fā)技術(shù)有深入了解并負責這方面的工作,或者采用安全開發(fā)工具和流程進行應(yīng)用程序開發(fā)。受訪者在美國和加拿大的多個行業(yè)工作,包括制造業(yè)、金融業(yè)、建筑與工程行業(yè)和商業(yè)服務(wù)業(yè)等。
新思科技軟件質(zhì)量與安全部門產(chǎn)品市場總監(jiān)Patrick Carey表示:“這項研究的關(guān)鍵見解凸顯了企業(yè)需要在整個開發(fā)生命周期中全面處理應(yīng)用程序安全。在仍提交易受攻擊的代碼的企業(yè)中,45%是因為在開發(fā)周期中過晚發(fā)現(xiàn)漏洞,以至于這些漏洞無法及時解決。這再次說明在開發(fā)流程中將安全左移的重要性,開發(fā)團隊需要能夠持續(xù)接受培訓(xùn),并在當前的流程提供補充的工具解決方案,以便他們能夠在不影響速度的前提下安全地進行編碼!
研究的主要發(fā)現(xiàn)包括:
· 大多數(shù)組織認為他們的應(yīng)用程序安全計劃都是可靠的,盡管許多組織仍然會提交易受攻擊的代碼。69%的受訪者將他們現(xiàn)有計劃的有效性評為8分或更高分,評級從0分到10分(其中10分表示最有效)。但是,由于近一半的企業(yè)仍然定期提交易受攻擊的代碼,因此大多數(shù)組織在過去12個月遭受到OWASP Top 10漏洞入侵其生產(chǎn)應(yīng)用程序。
· DevOps集成是改進的關(guān)鍵要素。超過四分之一的受訪者表示他們現(xiàn)在的應(yīng)用程序安全工具增加了摩擦并減緩了開發(fā)周期,而23%的受訪者則認為與開發(fā)/ DevOps工具的不良集成成為最常見的挑戰(zhàn)。此外,26%的受訪者指出,不同的應(yīng)用程序安全供應(yīng)商的工具之間是否存在集成困難或缺乏集成是常見的應(yīng)用程序安全挑戰(zhàn)。
· 開發(fā)人員在應(yīng)用程序安全中扮演重要角色,但是他們?nèi)狈记珊团嘤?xùn)。近三分之一(29%)的受訪者表示,企業(yè)內(nèi)的開發(fā)人員缺乏用現(xiàn)有的應(yīng)用程序安全工具解決問題的知識。而且僅僅17%的受訪者表示他們的開發(fā)人員利用其安全工具中提供的即時培訓(xùn),只有29%的受訪者被要求每季度至少參加一次培訓(xùn)。
· 企業(yè)計劃增加應(yīng)用程序安全支出。超過一半(51%)的受訪者表示計劃在未來12個月內(nèi)大幅增加應(yīng)用程序安全的支出。44%的受訪者計劃將應(yīng)用程序安全投資瞄準云端。
· AppSec工具的激增正在推動許多組織投資于工具整合。許多組織在努力整合和管理現(xiàn)有的工具,這往往會降低安全計劃的有效程度,并需要安排過多資源來管理工具。72%的受訪者使用的工具超過10種,復(fù)雜性成為了一個關(guān)鍵問題,因此超過三分之一的受訪者將投資重點放在了整合上面。