《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計 > 業(yè)界動態(tài) > 新思科技:許多組織仍會提交易受攻擊的代碼

新思科技:許多組織仍會提交易受攻擊的代碼

2020-09-22
來源:電子
關(guān)鍵詞: 新思科技 ESG

  美國新思科技公司  (Synopsys, Nasdaq: SNPS)近日發(fā)布的《現(xiàn)代應(yīng)用程序開發(fā)安全》報告發(fā)現(xiàn)盡管許多組織仍會提交易受攻擊的代碼,但大多數(shù)組織認為他們的應(yīng)用安全計劃都是可靠的,。擁有良好的應(yīng)用安全計劃并不意味著組織將不再提交易受攻擊的代碼,。區(qū)別在于提交此類代碼的人完全知情并清楚地了解他們所承擔的風險。

  要想實現(xiàn)應(yīng)用程序安全就需要持續(xù)對潛在風險進行分類處理,,這其中就涉及到如何制定優(yōu)先級決策,使得開發(fā)團隊既能在規(guī)定日期前交付應(yīng)用程序,,同時還能降低風險,。如果在開發(fā)周期中過晚發(fā)現(xiàn)漏洞,那么這些漏洞通常將無法得到解決,。這也進一步強調(diào)了盡早注重應(yīng)用程序安全的重要性,。因為只有盡早發(fā)現(xiàn)漏洞才能留出足夠的時間及時解決關(guān)鍵問題,不影響按時交付,。

  

1600765325328097.png

  根據(jù)行業(yè)分析公司Enterprise Strategy Group (ESG)對網(wǎng)絡(luò)安全和應(yīng)用程序開發(fā)專業(yè)人員進行的一項調(diào)查,,《現(xiàn)代應(yīng)用程序開發(fā)安全》報告著重說明了安全團隊對現(xiàn)代開發(fā)和部署實踐的了解程度以及需要采取哪些安全控制措施以降低風險。該研究發(fā)現(xiàn),,將近一半(48%)的調(diào)查受訪者因時間壓力,,仍會提交易受攻擊的代碼。研究還表明,,43%的受訪者表示DevOps集成對于改善應(yīng)用安全計劃至關(guān)重要,。

  ESG資深分析師Dave Gruber表示:“DevSecOps已在現(xiàn)代開發(fā)領(lǐng)域中將安全放在了前端和核心的位置;然而,,安全和開發(fā)團隊業(yè)務(wù)指標不同,,很難達成統(tǒng)一的目標。大多數(shù)安全團隊缺乏對現(xiàn)代應(yīng)用程序開發(fā)實踐的了解,,也進一步加劇了這一挑戰(zhàn),。向微服務(wù)架構(gòu)的轉(zhuǎn)型,以及對容器和無服務(wù)器模式的使用已經(jīng)改變了開發(fā)人員構(gòu)建,、測試和部署代碼的方式,。”

  新思科技委托權(quán)威IT分析和研究機構(gòu)ESG,,記錄有關(guān)開發(fā)團隊和網(wǎng)絡(luò)安全團隊之間有關(guān)應(yīng)用程序安全解決方案部署和管理的現(xiàn)狀和見解,。ESG對378名負責IT、網(wǎng)絡(luò)安全和應(yīng)用程序開發(fā)的專業(yè)人員進行了采訪和調(diào)研,。受訪者對安全的應(yīng)用程序開發(fā)技術(shù)有深入了解并負責這方面的工作,,或者采用安全開發(fā)工具和流程進行應(yīng)用程序開發(fā),。受訪者在美國和加拿大的多個行業(yè)工作,包括制造業(yè),、金融業(yè),、建筑與工程行業(yè)和商業(yè)服務(wù)業(yè)等。

  新思科技軟件質(zhì)量與安全部門產(chǎn)品市場總監(jiān)Patrick Carey表示:“這項研究的關(guān)鍵見解凸顯了企業(yè)需要在整個開發(fā)生命周期中全面處理應(yīng)用程序安全,。在仍提交易受攻擊的代碼的企業(yè)中,,45%是因為在開發(fā)周期中過晚發(fā)現(xiàn)漏洞,以至于這些漏洞無法及時解決,。這再次說明在開發(fā)流程中將安全左移的重要性,,開發(fā)團隊需要能夠持續(xù)接受培訓,并在當前的流程提供補充的工具解決方案,,以便他們能夠在不影響速度的前提下安全地進行編碼,。”

  研究的主要發(fā)現(xiàn)包括:

  大多數(shù)組織認為他們的應(yīng)用程序安全計劃都是可靠的,,盡管許多組織仍然會提交易受攻擊的代碼,。69%的受訪者將他們現(xiàn)有計劃的有效性評為8分或更高分,評級從0分到10分(其中10分表示最有效),。但是,,由于近一半的企業(yè)仍然定期提交易受攻擊的代碼,因此大多數(shù)組織在過去12個月遭受到OWASP Top 10漏洞入侵其生產(chǎn)應(yīng)用程序,。

  DevOps集成是改進的關(guān)鍵要素,。超過四分之一的受訪者表示他們現(xiàn)在的應(yīng)用程序安全工具增加了摩擦并減緩了開發(fā)周期,而23%的受訪者則認為與開發(fā)/ DevOps工具的不良集成成為最常見的挑戰(zhàn),。此外,,26%的受訪者指出,不同的應(yīng)用程序安全供應(yīng)商的工具之間是否存在集成困難或缺乏集成是常見的應(yīng)用程序安全挑戰(zhàn),。

  開發(fā)人員在應(yīng)用程序安全中扮演重要角色,,但是他們?nèi)狈记珊团嘤枴=种唬?9%)的受訪者表示,,企業(yè)內(nèi)的開發(fā)人員缺乏用現(xiàn)有的應(yīng)用程序安全工具解決問題的知識,。而且僅僅17%的受訪者表示他們的開發(fā)人員利用其安全工具中提供的即時培訓,只有29%的受訪者被要求每季度至少參加一次培訓,。

  企業(yè)計劃增加應(yīng)用程序安全支出,。超過一半(51%)的受訪者表示計劃在未來12個月內(nèi)大幅增加應(yīng)用程序安全的支出。44%的受訪者計劃將應(yīng)用程序安全投資瞄準云端,。

  AppSec工具的激增正在推動許多組織投資于工具整合,。許多組織在努力整合和管理現(xiàn)有的工具,這往往會降低安全計劃的有效程度,并需要安排過多資源來管理工具,。72%的受訪者使用的工具超過10種,,復雜性成為了一個關(guān)鍵問題,因此超過三分之一的受訪者將投資重點放在了整合上面,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。