Synopsysの調査によると、時間のプレッシャーが原因で、かなりの割合の組織が脆弱なアプリを意識的に導入している

shahadat-rahman-BfrQnKBulYQ-unsplash

編集者の概要:世界をリードするサイバーセキュリティベンダーの48つであるSynopsysが、「最新のアプリケーション開発セキュリティ」に関する電子書籍を発行しました。 電子書籍では、ベンダーはESGによって実施されたサイバーセキュリティとappdevの専門家の調査を詳述し、回答者のほぼ半分(XNUMX%)が時間の制約により脆弱なコードを市場に意識的に展開していることを示しました。 ベンダーのニュースリリースは以下のとおりです。

DevSecOpsの調査によると、時間のプレッシャーが原因で、組織の半数近くが脆弱なアプリケーションを意識的に導入している

アナリスト企業ESGが実施した調査では、最新のアプリケーション開発で発生しているセキュリティの傾向と課題について調査しています。

シンガポール、@ mcgallen#microwireinfo、12年2020月XNUMX日: シノプシス株式会社 (ナスダック: SNPS)本日リリースされた 「Modern Application Development Security」eBook。 Enterprise Strategy Group(ESG)が実施したサイバーセキュリティおよびアプリケーション開発の専門家の調査に基づいて、eBookは、セキュリティチームが最新の開発と導入の実践を理解している範囲と、リスクを下げるためにセキュリティ管理が必要な場所を強調しています。 この調査によると、調査回答者のほぼ半数(48%)が、時間的プレッシャーのために脆弱なコードを意識的に本番環境にプッシュしています。 調査では、高速アプリケーション開発を補完する統合が、アプリケーションセキュリティプログラムの改善にとって最も重要であると回答者の43%が指摘しています。

「DevSecOpsは、現代の開発の世界でセキュリティの最前線と中心に移動しました。 ただし、セキュリティチームと開発チームはさまざまな指標によって動かされているため、客観的な調整は困難です」とESGシニアアナリストのDave Gruber氏は述べています。 「これは、ほとんどのセキュリティチームが最新のアプリケーション開発手法の理解を欠いているという事実によってさらに悪化します。 マイクロサービス主導のアーキテクチャへの移行と、コンテナおよびサーバーレスアーキテクチャの使用により、開発者がコードを構築、テスト、およびデプロイする方法のダイナミクスが変化しました。」

Synopsysは、主要なITアナリストおよび研究組織であるESGに、アプリケーションセキュリティソリューションの導入と管理に関する開発チームとサイバーセキュリティチーム間のダイナミクスへの洞察を文書化するよう依頼しました。 ESGは、セキュリティアプリケーション開発技術に対する洞察と責任を持つ378名の資格を持つサイバーセキュリティ専門家、および開発ツールとプロセスのセキュリティ保護に関わるアプリケーション開発専門家を調査しました。 調査の回答者は、製造業、金融サービス、建設/エンジニアリング、ビジネスサービスなど、米国およびカナダ全体のさまざまな業種の組織で働いています。

シノプシスソフトウェアインテグリティグループの製品マーケティング担当ディレクター、パトリックキャリーは、次のように述べています。 「脆弱性のあるコードを意識して本番環境に投入している組織の45%は、特定された脆弱性がサイクルの後半で発見され、それらを時間内に解決できないためです。 これは、開発プロセスに残されたセキュリティをシフトすることの重要性を再確認し、開発チームが現在のプロセスを補完するツールソリューションと同様に継続的なトレーニングを可能にし、速度に悪影響を与えずに安全にコーディングできるようにします。」

研究からの重要な洞察は次のとおりです。

  • 多くの組織は、自社のアプリケーションセキュリティプログラムが効果的であると考えていますが、脆弱なアプリケーションを本番環境にプッシュしています。 調査回答者の8%は、現在のプログラムの有効性を0〜10のスケールで10以上と評価しています(10が最も効果的です)。 ただし、ほぼ半数の組織が定期的に脆弱なコードを意識的にプッシュしているため、過去12か月間にOWASPトップXNUMXの脆弱性に関連する本番アプリケーションのエクスプロイトが発生しています。
  • DevOps統合は、改善のための重要な要素です。 回答者の23分の26以上が、現在のアプリケーションセキュリティツールは摩擦を増やし、開発サイクルを遅くしていると回答していますが、XNUMX%は、開発/ DevOpsツールとの統合が不十分であることを共通の課題として認識しています。 さらに、回答者のXNUMX%は、さまざまなアプリケーションセキュリティベンダーのツール間の統合の難しさや欠如を、一般的なアプリケーションセキュリティの課題として指摘しています。
  • 開発者はアプリケーションのセキュリティにおいて重要な役割を果たしますが、スキルとトレーニングが不足しています。 回答者のほぼ29分の17(29%)が、組織内の開発者は、現在のアプリケーションセキュリティツールで特定された問題を緩和する知識を欠いていると述べています。 さらに、開発者がセキュリティツール内で利用可能なジャストインタイムのトレーニングを利用していると答えたのはわずかXNUMX%で、トレーニングを少なくとも四半期にXNUMX回は参加する必要があるのはわずかXNUMX%です。
  • 組織は、アプリケーションのセキュリティ支出を増やすことを計画しています。 回答者の半数以上(51%)が、今後12か月でアプリケーションのセキュリティ支出を大幅に増やす計画を報告しています。 XNUMX%は、アプリケーションセキュリティへの投資をクラウドに向けることを計画しています。
  • AppSecツールの急増により、多くの組織が統合に投資しています。多くの組織は、多数のツールを統合して管理するのに苦労しており、多くの場合、セキュリティプログラムの有効性を低下させるだけでなく、それらを管理するために膨大な量のリソースを投入しています。 70%がXNUMXを超えるツールを利用しているため、複雑さが主要な問題になり、その結果、XNUMX分のXNUMX以上が統合に投資を集中させています。

詳細については、のコピーをダウンロードしてください 「Modern Application Development Security」eBook、XNUMX月に登録 ウェビナー、または私たちの新しい ブログ投稿 調査結果を強調します。

Synopsys Software Integrity Groupについて

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて

Synopsys、Inc.(Nasdaq: SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発している革新的な企業のSilicontoSoftware™パートナーです。 シノプシスは、世界で15番目に大きなソフトウェア会社として、電子設計自動化(EDA)および半導体IPのグローバルリーダーであり、ソフトウェアセキュリティおよび品質ソリューションにおけるリーダーシップも拡大しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者でも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、シノプシスは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細については、 www.synopsys.com.

###