美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布的《现代应用程序开发安全》报告发现尽管许多组织仍会提交易受攻击的代码,但大多数组织认为他们的应用安全计划都是可靠的。拥有良好的应用安全计划并不意味着组织将不再提交易受攻击的代码。区别在于提交此类代码的人完全知情并清楚地了解他们所承担的风险。
要想实现应用程序安全就需要持续对潜在风险进行分类处理,这其中就涉及到如何制定优先级决策,使得开发团队既能在规定日期前交付应用程序,同时还能降低风险。如果在开发周期中过晚发现漏洞,那么这些漏洞通常将无法得到解决。这也进一步强调了尽早注重应用程序安全的重要性。因为只有尽早发现漏洞才能留出足够的时间及时解决关键问题,不影响按时交付。
根据行业分析公司Enterprise Strategy Group (ESG)对网络安全和应用程序开发专业人员进行的一项调查,《现代应用程序开发安全》报告着重说明了安全团队对现代开发和部署实践的了解程度以及需要采取哪些安全控制措施以降低风险。该研究发现,将近一半(48%)的调查受访者因时间压力,仍会提交易受攻击的代码。研究还表明,43%的受访者表示DevOps集成对于改善应用安全计划至关重要。
ESG资深分析师Dave Gruber表示:“DevSecOps已在现代开发领域中将安全放在了前端和核心的位置;然而,安全和开发团队业务指标不同,很难达成统一的目标。大多数安全团队缺乏对现代应用程序开发实践的了解,也进一步加剧了这一挑战。向微服务架构的转型,以及对容器和无服务器模式的使用已经改变了开发人员构建、测试和部署代码的方式。”
新思科技委托权威IT分析和研究机构ESG,记录有关开发团队和网络安全团队之间有关应用程序安全解决方案部署和管理的现状和见解。ESG对378名负责IT、网络安全和应用程序开发的专业人员进行了采访和调研。受访者对安全的应用程序开发技术有深入了解并负责这方面的工作,或者采用安全开发工具和流程进行应用程序开发。受访者在美国和加拿大的多个行业工作,包括制造业、金融业、建筑与工程行业和商业服务业等。
新思科技软件质量与安全部门产品市场总监Patrick Carey表示:“这项研究的关键见解凸显了企业需要在整个开发生命周期中全面处理应用程序安全。在仍提交易受攻击的代码的企业中,45%是因为在开发周期中过晚发现漏洞,以至于这些漏洞无法及时解决。这再次说明在开发流程中将安全左移的重要性,开发团队需要能够持续接受培训,并在当前的流程提供补充的工具解决方案,以便他们能够在不影响速度的前提下安全地进行编码。”
研究的主要发现包括:
大多数组织认为他们的应用程序安全计划都是可靠的,尽管许多组织仍然会提交易受攻击的代码。69%的受访者将他们现有计划的有效性评为8分或更高分,评级从0分到10分(其中10分表示最有效)。但是,由于近一半的企业仍然定期提交易受攻击的代码,因此大多数组织在过去12个月遭受到OWASP Top 10漏洞入侵其生产应用程序。
DevOps集成是改进的关键要素。超过四分之一的受访者表示他们现在的应用程序安全工具增加了摩擦并减缓了开发周期,而23%的受访者则认为与开发/ DevOps工具的不良集成成为最常见的挑战。此外,26%的受访者指出,不同的应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是常见的应用程序安全挑战。
开发人员在应用程序安全中扮演重要角色,但是他们缺乏技巧和培训。近三分之一(29%)的受访者表示,企业内的开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且仅仅17%的受访者表示他们的开发人员利用其安全工具中提供的即时培训,只有29%的受访者被要求每季度至少参加一次培训。
企业计划增加应用程序安全支出。超过一半(51%)的受访者表示计划在未来12个月内大幅增加应用程序安全的支出。44%的受访者计划将应用程序安全投资瞄准云端。
AppSec工具的激增正在推动许多组织投资于工具整合。许多组织在努力整合和管理现有的工具,这往往会降低安全计划的有效程度,并需要安排过多资源来管理工具。72%的受访者使用的工具超过10种,复杂性成为了一个关键问题,因此超过三分之一的受访者将投资重点放在了整合上面。
