首頁(yè)|必讀|視頻|專訪|運(yùn)營(yíng)|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁(yè) >> 技術(shù) >> 正文

新思科技發(fā)布《現(xiàn)代應(yīng)用程序開發(fā)安全》報(bào)告 探討安全趨勢(shì)和現(xiàn)代應(yīng)用程序開發(fā)的挑戰(zhàn)

2020年9月22日 17:17  CCTIME飛象網(wǎng)  

飛象網(wǎng)訊 隨著應(yīng)用程序安全日趨成熟,任何單一的測(cè)試技術(shù)都無(wú)法幫助開發(fā)團(tuán)隊(duì)降低全部安全風(fēng)險(xiǎn)。為了確保如今種類繁多的應(yīng)用程序開發(fā)與部署模型的安全,企業(yè)需要使用各種各樣的安全測(cè)試工具。

美國(guó)新思科技公司  (Synopsys, Nasdaq: SNPS)近日發(fā)布了《現(xiàn)代應(yīng)用程序開發(fā)安全》報(bào)告。根據(jù)行業(yè)分析公司Enterprise Strategy Group (ESG)對(duì)網(wǎng)絡(luò)安全和應(yīng)用程序開發(fā)專業(yè)人員進(jìn)行的一項(xiàng)調(diào)查,該報(bào)告著重說(shuō)明了安全團(tuán)隊(duì)對(duì)現(xiàn)代開發(fā)和部署實(shí)踐的了解程度以及需要采取哪些安全控制措施以降低風(fēng)險(xiǎn)。該研究發(fā)現(xiàn),將近一半(48%)的調(diào)查受訪者因時(shí)間壓力,仍會(huì)提交易受攻擊的代碼。研究還表明,43%的受訪者表示DevOps集成對(duì)于改善應(yīng)用安全計(jì)劃至關(guān)重要。

點(diǎn)擊免費(fèi)下載《現(xiàn)代應(yīng)用程序開發(fā)安全》報(bào)告。

ESG資深分析師Dave Gruber表示:“DevSecOps已在現(xiàn)代開發(fā)領(lǐng)域中將安全放在了前端和核心的位置;然而,安全和開發(fā)團(tuán)隊(duì)業(yè)務(wù)指標(biāo)不同,很難達(dá)成統(tǒng)一的目標(biāo)。大多數(shù)安全團(tuán)隊(duì)缺乏對(duì)現(xiàn)代應(yīng)用程序開發(fā)實(shí)踐的了解,也進(jìn)一步加劇了這一挑戰(zhàn)。向微服務(wù)架構(gòu)的轉(zhuǎn)型,以及對(duì)容器和無(wú)服務(wù)器模式的使用已經(jīng)改變了開發(fā)人員構(gòu)建、測(cè)試和部署代碼的方式!

新思科技委托權(quán)威IT分析和研究機(jī)構(gòu)ESG,記錄有關(guān)開發(fā)團(tuán)隊(duì)和網(wǎng)絡(luò)安全團(tuán)隊(duì)之間有關(guān)應(yīng)用程序安全解決方案部署和管理的現(xiàn)狀和見(jiàn)解。ESG對(duì)378名負(fù)責(zé)IT、網(wǎng)絡(luò)安全和應(yīng)用程序開發(fā)的專業(yè)人員進(jìn)行了采訪和調(diào)研。受訪者對(duì)安全的應(yīng)用程序開發(fā)技術(shù)有深入了解并負(fù)責(zé)這方面的工作,或者采用安全開發(fā)工具和流程進(jìn)行應(yīng)用程序開發(fā)。受訪者在美國(guó)和加拿大的多個(gè)行業(yè)工作,包括制造業(yè)、金融業(yè)、建筑與工程行業(yè)和商業(yè)服務(wù)業(yè)等。

新思科技軟件質(zhì)量與安全部門產(chǎn)品市場(chǎng)總監(jiān)Patrick Carey表示:“這項(xiàng)研究的關(guān)鍵見(jiàn)解凸顯了企業(yè)需要在整個(gè)開發(fā)生命周期中全面處理應(yīng)用程序安全。在仍提交易受攻擊的代碼的企業(yè)中,45%是因?yàn)樵陂_發(fā)周期中過(guò)晚發(fā)現(xiàn)漏洞,以至于這些漏洞無(wú)法及時(shí)解決。這再次說(shuō)明在開發(fā)流程中將安全左移的重要性,開發(fā)團(tuán)隊(duì)需要能夠持續(xù)接受培訓(xùn),并在當(dāng)前的流程提供補(bǔ)充的工具解決方案,以便他們能夠在不影響速度的前提下安全地進(jìn)行編碼!

研究的主要發(fā)現(xiàn)包括:

· 大多數(shù)組織認(rèn)為他們的應(yīng)用程序安全計(jì)劃都是可靠的,盡管許多組織仍然會(huì)提交易受攻擊的代碼。69%的受訪者將他們現(xiàn)有計(jì)劃的有效性評(píng)為8分或更高分,評(píng)級(jí)從0分到10分(其中10分表示最有效)。但是,由于近一半的企業(yè)仍然定期提交易受攻擊的代碼,因此大多數(shù)組織在過(guò)去12個(gè)月遭受到OWASP Top 10漏洞入侵其生產(chǎn)應(yīng)用程序。

· DevOps集成是改進(jìn)的關(guān)鍵要素。超過(guò)四分之一的受訪者表示他們現(xiàn)在的應(yīng)用程序安全工具增加了摩擦并減緩了開發(fā)周期,而23%的受訪者則認(rèn)為與開發(fā)/ DevOps工具的不良集成成為最常見(jiàn)的挑戰(zhàn)。此外,26%的受訪者指出,不同的應(yīng)用程序安全供應(yīng)商的工具之間是否存在集成困難或缺乏集成是常見(jiàn)的應(yīng)用程序安全挑戰(zhàn)。

· 開發(fā)人員在應(yīng)用程序安全中扮演重要角色,但是他們?nèi)狈记珊团嘤?xùn)。近三分之一(29%)的受訪者表示,企業(yè)內(nèi)的開發(fā)人員缺乏用現(xiàn)有的應(yīng)用程序安全工具解決問(wèn)題的知識(shí)。而且僅僅17%的受訪者表示他們的開發(fā)人員利用其安全工具中提供的即時(shí)培訓(xùn),只有29%的受訪者被要求每季度至少參加一次培訓(xùn)。

· 企業(yè)計(jì)劃增加應(yīng)用程序安全支出。超過(guò)一半(51%)的受訪者表示計(jì)劃在未來(lái)12個(gè)月內(nèi)大幅增加應(yīng)用程序安全的支出。44%的受訪者計(jì)劃將應(yīng)用程序安全投資瞄準(zhǔn)云端。

· AppSec工具的激增正在推動(dòng)許多組織投資于工具整合。許多組織在努力整合和管理現(xiàn)有的工具,這往往會(huì)降低安全計(jì)劃的有效程度,并需要安排過(guò)多資源來(lái)管理工具。72%的受訪者使用的工具超過(guò)10種,復(fù)雜性成為了一個(gè)關(guān)鍵問(wèn)題,因此超過(guò)三分之一的受訪者將投資重點(diǎn)放在了整合上面。

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問(wèn)題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬?guó)家新劃分了中頻段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國(guó)5G商用四周年
2023年中國(guó)國(guó)際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像