La encuesta de Synopsys reveló que una proporción significativa de organizaciones implementan conscientemente aplicaciones vulnerables debido a las presiones del tiempo.

shahadat-rahman-BfrQnKBulYQ-unsplash

Resumen del editor: Synopsys, uno de los principales proveedores de ciberseguridad del mundo, ha publicado un libro electrónico sobre "seguridad de desarrollo de aplicaciones modernas". En el libro electrónico, el proveedor detalló una encuesta de profesionales de ciberseguridad y desarrollo de aplicaciones realizada por ESG, y mostró que casi la mitad (48%) de los encuestados implementan conscientemente código vulnerable en el mercado debido a limitaciones de tiempo. El comunicado de prensa del proveedor se encuentra a continuación.

El estudio de DevSecOps encuentra que casi la mitad de las organizaciones implementan conscientemente aplicaciones vulnerables debido a la presión del tiempo

Un estudio realizado por la firma de analistas ESG explora las tendencias de seguridad y los desafíos que surgen en el desarrollo de aplicaciones modernas

SINGAPUR, @mcgallen #microwireinfo, 12 de agosto de 2020: Synopsys, Inc. (Nasdaq: SNPS) lanzó hoy el Libro electrónico “Seguridad en el desarrollo de aplicaciones modernas”. Basado en una encuesta de profesionales de desarrollo de aplicaciones y ciberseguridad realizada por Enterprise Strategy Group (ESG), el libro electrónico destaca hasta qué punto los equipos de seguridad comprenden las prácticas modernas de desarrollo e implementación y dónde se requieren controles de seguridad para reducir el riesgo. El estudio encuentra que casi la mitad (48%) de los encuestados impulsan conscientemente el código vulnerable a la producción debido a las presiones del tiempo. El estudio también identifica que las integraciones que complementan el desarrollo de aplicaciones de alta velocidad son más importantes, según el 43% de los encuestados, para mejorar los programas de seguridad de las aplicaciones.

“DevSecOps ha puesto la seguridad al frente y al centro en el mundo del desarrollo moderno; sin embargo, los equipos de seguridad y desarrollo están impulsados ​​por diferentes métricas, lo que dificulta la alineación de objetivos ”, dijo Dave Gruber, analista senior de ESG. “Esto se ve agravado aún más por el hecho de que la mayoría de los equipos de seguridad no comprenden las prácticas modernas de desarrollo de aplicaciones. El cambio a arquitecturas impulsadas por microservicios y el uso de contenedores y arquitecturas sin servidor ha cambiado la dinámica de cómo los desarrolladores construyen, prueban e implementan código ".

Synopsys encargó a ESG, una organización de investigación y analista de TI líder, que documente la información sobre la dinámica entre los equipos de desarrollo y los equipos de ciberseguridad con respecto a la implementación y gestión de soluciones de seguridad de aplicaciones. ESG encuestó a 378 profesionales calificados en ciberseguridad con conocimiento y responsabilidad de las tecnologías de desarrollo de aplicaciones de seguridad, y profesionales de desarrollo de aplicaciones involucrados en la protección de herramientas y procesos de desarrollo. Los encuestados trabajan en organizaciones en múltiples industrias verticales, incluidas la fabricación, los servicios financieros, la construcción / ingeniería y los servicios comerciales, entre otros en los Estados Unidos y Canadá.

“Los conocimientos clave identificados en este estudio subrayan el hecho de que las organizaciones deben abordar la seguridad de las aplicaciones de manera integral a lo largo del ciclo de vida del desarrollo”, dijo Patrick Carey, director de marketing de productos para Synopsys Software Integrity Group. “De las organizaciones que introducen conscientemente código vulnerable en producción, el 45% lo hace porque las vulnerabilidades identificadas se descubrieron demasiado tarde en el ciclo para resolverlas a tiempo. Esto reafirma la importancia de cambiar la seguridad que queda en el proceso de desarrollo, permitiendo a los equipos de desarrollo con capacitación continua, así como soluciones de herramientas que complementan sus procesos actuales para que puedan codificar de forma segura sin afectar negativamente su velocidad ".

Las ideas clave del estudio incluyen:

  • La mayoría de las organizaciones creen que su programa de seguridad de aplicaciones es eficaz, aunque muchas todavía introducen aplicaciones vulnerables en producción. El 8% de los encuestados califica la eficacia de su programa actual con un 0 o más en una escala de 10 a 10 (siendo 10 el más eficaz). Sin embargo, dado que casi la mitad de las organizaciones impulsan conscientemente código vulnerable de forma regular, la mayoría ha experimentado exploits de aplicaciones de producción que involucran las 12 vulnerabilidades principales de OWASP en los últimos XNUMX meses.
  • La integración de DevOps es un elemento fundamental para la mejora. Más de una cuarta parte de los encuestados dice que sus herramientas de seguridad de aplicaciones actuales agregan fricción y ralentizan los ciclos de desarrollo, mientras que el 23% identifica una mala integración con las herramientas de desarrollo / DevOps como un desafío común. Además, el 26% de los encuestados señala una dificultad o falta de integración entre las diferentes herramientas de los proveedores de seguridad de aplicaciones como un desafío de seguridad de aplicaciones común.
  • Los desarrolladores juegan un papel importante en la seguridad de las aplicaciones, pero carecen de las habilidades y la capacitación. Casi un tercio (29%) de los encuestados expresan que los desarrolladores dentro de su organización carecen del conocimiento para mitigar los problemas identificados por sus herramientas de seguridad de aplicaciones actuales. Además, solo el 17% dice que sus desarrolladores utilizan la capacitación justo a tiempo disponible dentro de sus herramientas de seguridad y solo el 29% debe participar en la capacitación al menos una vez por trimestre.
  • Las organizaciones planean aumentar el gasto en seguridad de las aplicaciones. Más de la mitad (51%) de los encuestados informan planes para aumentos significativos en el gasto en seguridad de aplicaciones durante los próximos 12 meses. El cuarenta y cuatro por ciento tiene previsto orientar las inversiones en seguridad de las aplicaciones hacia la nube.
  • La proliferación de herramientas AppSec está impulsando a muchas organizaciones a invertir en consolidación.Muchas organizaciones están luchando por integrar y administrar la cantidad de herramientas existentes, lo que a menudo conduce a una reducción en la efectividad de su programa de seguridad y al mismo tiempo dirige una cantidad excesiva de recursos para administrarlas. Con un 70% que utiliza más de diez herramientas, la complejidad se convierte en un tema clave y, como resultado, más de un tercio está centrando las inversiones en la consolidación.

Para obtener más información, descargue una copia del Libro electrónico “Seguridad en el desarrollo de aplicaciones modernas”, regístrese para nuestro septiembre seminarioo lee nuestro nuevo blog destacando los hallazgos de la encuesta.

Acerca del grupo de integridad del software Synopsys

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en www.synopsys.com.

###