新思科技《現代應用程序開發(fā)安全》報告發(fā)現，許多組織仍會提交易受攻擊的代碼

美國新思科技公司近日發(fā)布的《現代應用程序開發(fā)安全》報告發(fā)現盡管許多組織仍會提交易受攻擊的代碼，但大多數組織認為他們的應用安全計劃都是可靠的。擁有良好的應用安全計劃并不意味著組織將不再提交易受攻擊的代碼。區(qū)別在于提交此類代碼的人完全知情并清楚地了解他們所承擔的風險。

要想實現應用程序安全就需要持續(xù)對潛在風險進行分類處理，這其中就涉及到如何制定優(yōu)先級決策，使得開發(fā)團隊既能在規(guī)定日期前交付應用程序，同時還能降低風險。如果在開發(fā)周期中過晚發(fā)現漏洞，那么這些漏洞通常將無法得到解決。這也進一步強調了盡早注重應用程序安全的重要性。因為只有盡早發(fā)現漏洞才能留出足夠的時間及時解決關鍵問題，不影響按時交付。

根據行業(yè)分析公司Enterprise Strategy Group (ESG)對網絡安全和應用程序開發(fā)專業(yè)人員進行的一項調查，《現代應用程序開發(fā)安全》報告著重說明了安全團隊對現代開發(fā)和部署實踐的了解程度以及需要采取哪些安全控制措施以降低風險。該研究發(fā)現，將近一半(48%)的調查受訪者因時間壓力，仍會提交易受攻擊的代碼。研究還表明，43%的受訪者表示DevOps集成對于改善應用安全計劃至關重要。

ESG資深分析師Dave Gruber表示：“DevSecOps已在現代開發(fā)領域中將安全放在了前端和核心的位置;然而，安全和開發(fā)團隊業(yè)務指標不同，很難達成統一的目標。大多數安全團隊缺乏對現代應用程序開發(fā)實踐的了解，也進一步加劇了這一挑戰(zhàn)。向微服務架構的轉型，以及對容器和無服務器模式的使用已經改變了開發(fā)人員構建、測試和部署代碼的方式?！?

新思科技委托權威IT分析和研究機構ESG，記錄有關開發(fā)團隊和網絡安全團隊之間有關應用程序安全解決方案部署和管理的現狀和見解。ESG對378名負責IT、網絡安全和應用程序開發(fā)的專業(yè)人員進行了采訪和調研。受訪者對安全的應用程序開發(fā)技術有深入了解并負責這方面的工作，或者采用安全開發(fā)工具和流程進行應用程序開發(fā)。受訪者在美國和加拿大的多個行業(yè)工作，包括制造業(yè)、金融業(yè)、建筑與工程行業(yè)和商業(yè)服務業(yè)等。

新思科技軟件質量與安全部門產品市場總監(jiān)Patrick Carey表示：“這項研究的關鍵見解凸顯了企業(yè)需要在整個開發(fā)生命周期中全面處理應用程序安全。在仍提交易受攻擊的代碼的企業(yè)中，45%是因為在開發(fā)周期中過晚發(fā)現漏洞，以至于這些漏洞無法及時解決。這再次說明在開發(fā)流程中將安全左移的重要性，開發(fā)團隊需要能夠持續(xù)接受培訓，并在當前的流程提供補充的工具解決方案，以便他們能夠在不影響速度的前提下安全地進行編碼?！?

研究的主要發(fā)現包括：

· 大多數組織認為他們的應用程序安全計劃都是可靠的，盡管許多組織仍然會提交易受攻擊的代碼。69%的受訪者將他們現有計劃的有效性評為8分或更高分，評級從0分到10分(其中10分表示最有效)。但是，由于近一半的企業(yè)仍然定期提交易受攻擊的代碼，因此大多數組織在過去12個月遭受到OWASP Top 10漏洞入侵其生產應用程序。

· DevOps集成是改進的關鍵要素。超過四分之一的受訪者表示他們現在的應用程序安全工具增加了摩擦并減緩了開發(fā)周期，而23%的受訪者則認為與開發(fā)/ DevOps工具的不良集成成為最常見的挑戰(zhàn)。此外，26%的受訪者指出，不同的應用程序安全供應商的工具之間是否存在集成困難或缺乏集成是常見的應用程序安全挑戰(zhàn)。

· 開發(fā)人員在應用程序安全中扮演重要角色，但是他們缺乏技巧和培訓。近三分之一(29%)的受訪者表示，企業(yè)內的開發(fā)人員缺乏用現有的應用程序安全工具解決問題的知識。而且僅僅17%的受訪者表示他們的開發(fā)人員利用其安全工具中提供的即時培訓，只有29%的受訪者被要求每季度至少參加一次培訓。

· 企業(yè)計劃增加應用程序安全支出。超過一半(51%)的受訪者表示計劃在未來12個月內大幅增加應用程序安全的支出。44%的受訪者計劃將應用程序安全投資瞄準云端。

· AppSec工具的激增正在推動許多組織投資于工具整合。許多組織在努力整合和管理現有的工具，這往往會降低安全計劃的有效程度，并需要安排過多資源來管理工具。72%的受訪者使用的工具超過10種，復雜性成為了一個關鍵問題，因此超過三分之一的受訪者將投資重點放在了整合上面。