新しい調査によると、DevOpsのセキュリティは利点と機会にもかかわらず遅れている

20171108_synopsys_coverityfeat

451 ResearchとSynopsysによる新しい調査によると、DevOpsのセキュリティは利点と機会にもかかわらず遅れています

調査によると、CI / CDワークフローの半分しかアプリケーションセキュリティテストの要素が含まれていない

シンガポール、@ mcgallen#microwire情報、26年2018月451日– Synopsys、Inc.(Nasdaq:SNPS)は本日、企業のDevOpsチームが継続的インテグレーションと継続的デリバリー(CI / CD)ワークフローにアプリケーションセキュリティを組み込む際に直面する機会と課題を強調する新しいデータをリリースしました。 Synopsys、DevSecOps Realities、Opportunitiesから委託された350 Researchレポートは、さまざまな業界の大企業のXNUMXの企業意思決定者からの調査結果を分析します。 この調査では、CI / CDワークフローの半分だけが、アプリケーションのセキュリティテスト要素を含んでいることがわかりました。

DevOpsの主席アナリストであるJay Lyman氏は、「一部のDevOpsチームは、ソフトウェアの品質の向上、コンプライアンス、リスク回避などの要因により、アプリケーションセキュリティをCI / CDワークフローに組み込んでいますが、改善の余地は十分にあります」と述べました。研究。 「多くの場合、セキュリティテストは、組織がリスクの削減と再作業の頭痛の恩恵を十分に享受するためのプロセスに、頻繁にまたは十分に早く統合されていません。」

現在、DevOpsチームは大規模なインフラストラクチャで作業しており、ソフトウェアをより速くリリースし、リリースごとに大幅なコードを変更しています。 回答者のXNUMX%は、DevOpsモデルでソフトウェアを少なくともXNUMX倍速く展開することを期待していると述べています。 明確で情報に基づく戦略がない場合、これにより、これらのプロセス内でのアプリケーションセキュリティテストの確立とスケーリングが複雑かつ困難になる可能性があります。

組織は、自動化と一貫性の欠如、速度の低下、および誤検知のノイズをDevSecOpsの主要な課題として挙げていますが、調査では、ソフトウェア開発ライフサイクルの初期に統合された自動化ツールの使用が、ソフトウェアの速度と全体的な品質およびセキュリティの両方。

調査では、ソフトウェア構成分析(SCA)、または既知の脆弱性の影響を受けるオープンソースソフトウェアコンポーネントの識別が、CI / CDワークフローに組み込む必要がある最も重要なアプリケーションセキュリティ要素であることも明らかになりました。 興味深いことに、この調査では、40%近くの組織がSCAを実行していないか、オープンソースコンポーネントを使用していないと主張しています。これは、以前の オープンソースのセキュリティとリスク分析レポート Black Duck Softwareによると、95%以上のアプリケーションにオープンソースが含まれていることがわかりました。

シノプシスソフトウェアインテグリティグループのゼネラルマネージャーであるAndreas Kuehlmann氏は、次のように述べています。 「この研究は、アプリケーションセキュリティツールとベストプラクティスの適応と適用においてDevOpsチームが直面する多くの機会と課題を強調しています。 また、自動化、速度、精度、CI / CD統合、Synopsysがアプリケーションセキュリティソリューションに組み込んだ属性が、DevSecOpsを成功させるために重要であることも検証します。」

完全なレポートを読むには、 https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

Synopsys Software Integrity Groupについて
Synopsys Software Integrity Groupは、組織が安全で高品質なソフトウェアを構築し、リスクを最小限に抑えながらスピードと生産性を最大化するのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最大化し、ソフトウェア開発ライフサイクル全体を支援できるようにします。 詳細は www.synopsys.com/software.

シノプシスについて
Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###