Poted on

편집자 요약 : Synopsys세계 최고의 사이버 보안 공급업체 중 하나인 가 "현대 애플리케이션 개발 보안"에 대한 전자책을 출판했습니다. 전자책에서 벤더는 ESG가 수행한 사이버 보안 및 앱 개발 전문가에 대한 설문 조사를 자세히 설명했으며 응답자의 거의 절반(48%)이 시간 제약으로 인해 취약한 코드를 의식적으로 시장에 배포하는 것으로 나타났습니다. 벤더의 보도 자료는 아래와 같습니다.

DevSecOps 연구에 따르면 조직의 거의 절반이 시간 압박으로 인해 취약한 애플리케이션을 의식적으로 배포하는 것으로 나타났습니다.

분석 회사 ESG에서 실시한 연구에서 최신 애플리케이션 개발에서 나타나는 보안 동향과 과제를 탐구합니다.

싱가포르, @mcgallen #microwireinfo, 12 년 2020 월 XNUMX 일 : Synopsys주식회사 (나스닥 : SNPS) 오늘 출시 “최신 애플리케이션 개발 보안”eBook. ESG (Enterprise Strategy Group)에서 실시한 사이버 보안 및 애플리케이션 개발 전문가를 대상으로 한 설문 조사를 기반으로이 eBook은 보안 팀이 최신 개발 및 배포 관행을 이해하는 정도와 위험을 낮추기 위해 보안 제어가 필요한 부분을 강조합니다. 이 연구에 따르면 설문 응답자의 거의 절반 (48 %)이 시간 압박으로 인해 취약한 코드를 의식적으로 프로덕션에 밀어 넣는 것으로 나타났습니다. 또한 응답자의 43 %에 따르면 고속 애플리케이션 개발을 보완하는 통합이 애플리케이션 보안 프로그램을 개선하는 데 가장 중요한 것으로 나타났습니다.

“DevSecOps는 현대 개발의 세계에서 보안을 전면 및 중심으로 이동 시켰습니다. 그러나 보안 및 개발 팀은 서로 다른 메트릭에 의해 주도되므로 객관적 조정이 어렵습니다.”라고 수석 ESG 분석가 인 Dave Gruber가 말했습니다. “대부분의 보안 팀이 최신 애플리케이션 개발 관행에 대한 이해가 부족하다는 사실로 인해 더욱 악화되었습니다. 마이크로 서비스 기반 아키텍처로의 이동과 컨테이너 및 서버리스 아키텍처의 사용은 개발자가 코드를 빌드, 테스트 및 배포하는 방식의 역학을 변화 시켰습니다. "

Synopsys 선도적인 IT 분석가 및 연구 기관인 ESG에 애플리케이션 보안 솔루션의 배포 및 관리와 관련하여 개발 팀과 사이버 보안 팀 간의 역학 관계에 대한 통찰력을 문서화하도록 위임했습니다. ESG는 보안 애플리케이션 개발 기술에 대한 통찰력과 책임이 있는 378명의 자격을 갖춘 사이버 보안 전문가와 개발 도구 및 프로세스 보안과 관련된 애플리케이션 개발 전문가를 대상으로 설문조사를 실시했습니다. 설문 응답자는 미국과 캐나다 전역에서 제조, 금융 서비스, 건설/엔지니어링, 비즈니스 서비스를 비롯한 여러 산업 분야의 조직에서 일하고 있습니다.

패트릭 캐리(Patrick Carey) 제품 마케팅 이사는 “이 연구에서 확인된 핵심 통찰력은 조직이 개발 수명 주기 전반에 걸쳐 애플리케이션 보안을 전체적으로 다루어야 한다는 사실을 강조합니다. Synopsys 소프트웨어 무결성 그룹. “의식적으로 취약한 코드를 프로덕션에 푸시하는 조직 중 45%는 식별된 취약점이 주기에서 너무 늦게 발견되어 제시간에 해결할 수 없기 때문에 그렇게 합니다. 이는 개발 프로세스에 남아 있는 보안 전환의 중요성을 재확인하여 개발 팀이 속도에 부정적인 영향을 미치지 않고 안전하게 코딩할 수 있도록 현재 프로세스를 보완하는 도구 솔루션과 지속적인 교육을 받을 수 있도록 합니다.”

연구에서 얻은 주요 통찰력은 다음과 같습니다.

  • 대부분의 조직은 여전히 ​​취약한 애플리케이션을 프로덕션으로 밀어 넣지 만 애플리케이션 보안 프로그램이 효과적이라고 생각합니다. 설문 응답자의 8 %는 현재 프로그램의 효율성을 0에서 10까지의 척도로 10 이상으로 평가했습니다 (10이 가장 효과적 임). 그러나 조직의 거의 절반이 의식적으로 취약한 코드를 정기적으로 푸시하므로 대부분은 지난 12 개월 동안 OWASP Top XNUMX 취약성과 관련된 프로덕션 애플리케이션 악용을 경험했습니다.
  • DevOps 통합은 개선을위한 중요한 요소입니다. 응답자의 23 분의 26 이상이 현재 애플리케이션 보안 도구가 마찰을 추가하고 개발주기를 늦추고 있다고 답했으며 XNUMX %는 개발 / DevOps 도구와의 통합 불량을 일반적인 문제로 꼽았습니다. 또한 응답자의 XNUMX %는 공통 애플리케이션 보안 문제로 서로 다른 애플리케이션 보안 공급 업체 도구 간의 통합이 어렵거나 부족하다고 답했습니다.
  • 개발자는 애플리케이션 보안에서 중요한 역할을하지만 기술과 교육이 부족합니다. 응답자의 거의 29 분의 17 (29 %)은 조직 내 개발자가 현재 애플리케이션 보안 도구로 식별 된 문제를 완화 할 수있는 지식이 부족하다고 답했습니다. 또한 개발자가 보안 도구 내에서 제공되는 Just-In-Time 교육을 활용한다고 답한 비율은 XNUMX %에 불과하며 분기당 최소 한 번 교육에 참여해야하는 경우는 XNUMX %에 불과합니다.
  • 조직은 애플리케이션 보안 지출을 늘릴 계획입니다. 응답자의 절반 이상 (51 %)이 향후 12 개월 동안 애플리케이션 보안 지출을 크게 늘릴 계획이라고보고했습니다. XNUMX %는 클라우드에 대한 애플리케이션 보안 투자를 목표로 할 계획입니다.
  • AppSec 도구의 확산으로 인해 많은 조직이 통합에 투자해야합니다.많은 조직이 여러 도구를 통합하고 관리하는 데 어려움을 겪고 있으며, 이는 종종 보안 프로그램의 효율성을 감소시키는 동시에 과도한 양의 리소스를 관리하도록 유도합니다. 70 %가 XNUMX 개 이상의 도구를 사용하는 상황에서 복잡성이 주요 문제가되었으며 결과적으로 XNUMX/XNUMX 이상이 통합에 투자를 집중하고 있습니다.

자세한 내용을 보려면 “최신 애플리케이션 개발 보안”eBook, XNUMX 월 등록 웹 세미나, 또는 우리의 새로운 블로그 게시물 설문 조사 결과를 강조합니다.

정보 Synopsys 소프트웨어 무결성 그룹

Synopsys Software Integrity Group은 개발 팀이 속도와 생산성을 최대화하면서 위험을 최소화하는 안전한 고품질 소프트웨어를 구축할 수 있도록 지원합니다. Synopsys애플리케이션 보안 분야에서 인정받는 리더로서 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약점과 결함을 신속하게 찾고 수정할 수 있도록 합니다. 업계 최고의 도구, 서비스 및 전문 지식의 조합을 통해 오직 Synopsys 조직이 DevSecOps 및 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 및 품질을 최적화할 수 있도록 지원합니다. 자세히 알아보기 WWW.synopsys.com/software.

소개 Synopsys

Synopsys, Inc. (Nasdaq : SNPS)은 우리가 매일 의존하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을 위한 Silicon to Software™ 파트너입니다. 세계 15위의 소프트웨어 기업으로서, Synopsys 전자 설계 자동화(EDA) 및 반도체 IP 분야의 글로벌 리더로서의 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션에서도 리더십을 성장시키고 있습니다. 고급 반도체를 만드는 SoC(System-on-Chip) 설계자이든, 최고의 보안과 품질이 필요한 응용 프로그램을 작성하는 소프트웨어 개발자이든, Synopsys 혁신적인 고품질 보안 제품을 제공하는 데 필요한 솔루션을 보유하고 있습니다. 자세히 알아보기 WWW.synopsys.COM.

# # #