опубликовано

Безопасность в DevOps отстает, несмотря на преимущества и возможности, согласно новому исследованию 451 Research and Synopsys

Исследование показывает, что только половина рабочих процессов CI / CD включает элементы тестирования безопасности приложений

Сингапур, @mcgallen #microwireinfo, 26 апреля 2018 г. - Synopsys, Inc. (Nasdaq: SNPS) сегодня опубликовала новые данные, которые подчеркивают возможности и проблемы, с которыми сталкиваются корпоративные команды DevOps при включении безопасности приложений в свои рабочие процессы непрерывной интеграции и непрерывной доставки (CI/CD). Отчет 451 Research по заказу Synopsys, DevSecOps Realities and Opportunities, анализирует результаты опроса 350 руководителей крупных предприятий в различных отраслях. Исследование показало, что только половина рабочих процессов CI/CD включает в себя элементы тестирования безопасности приложений, несмотря на то, что респонденты ссылались на понимание важности и преимуществ этого.

«В то время как некоторые команды DevOps начинают включать безопасность приложений в свои рабочие процессы CI / CD, движимые такими факторами, как повышение качества программного обеспечения, соответствие нормативным требованиям и предотвращение рисков, есть много возможностей для улучшения», - сказал Джей Лайман, главный аналитик DevOps на 451 Исследовательская работа. «Во многих случаях тестирование безопасности не интегрируется часто или на достаточно ранних этапах процесса, чтобы организации могли в полной мере воспользоваться снижением рисков и переделывать головные боли».

Сегодня команды DevOps работают с крупномасштабными инфраструктурами, быстрее выпускают программное обеспечение и делают это со значительными изменениями кода в каждом выпуске. Шестьдесят три процента респондентов заявили, что ожидают развертывания программного обеспечения как минимум в четыре раза быстрее в модели DevOps. Без четкой и информированной стратегии это может сделать создание и масштабирование тестирования безопасности приложений в рамках этих процессов сложным и трудным.

В то время как организации назвали основными проблемами DevSecOps отсутствие автоматизации и согласованности, снижение скорости и шум ложных срабатываний, опрос также показал, что использование автоматизированных инструментов, интегрированных на ранних этапах жизненного цикла разработки программного обеспечения, может оказать положительное влияние на как скорость, так и общее качество и безопасность программного обеспечения.

Опрос также показал, что анализ состава программного обеспечения (SCA) или идентификация компонентов программного обеспечения с открытым исходным кодом, подверженных известным уязвимостям, является наиболее важным элементом безопасности приложений, который необходимо включить в рабочие процессы CI / CD. Интересно, что опрос также показал, что почти 40% организаций либо не выполняют SCA, либо заявляют, что не используют какие-либо компоненты с открытым исходным кодом, что может свидетельствовать о недостаточной осведомленности, учитывая, что предыдущие Отчет о безопасности и анализе рисков с открытым исходным кодом от Black Duck Software выяснили, что более 95% приложений содержат открытый исходный код.

«DevSecOps дает возможность сделать безопасность приложений частью культурной и технологической структуры современных высокоскоростных моделей разработки и развертывания, — сказал Андреас Кюльманн, генеральный менеджер Synopsys Группа целостности программного обеспечения. «В этом исследовании освещаются многие возможности и проблемы, с которыми сталкивается команда DevOps при адаптации и применении инструментов и передовых методов обеспечения безопасности приложений. Он также подтверждает, что автоматизация, скорость, точность и интеграция CI/CD являются атрибутами Synopsys встроенные в его решения для обеспечения безопасности приложений, имеют решающее значение для успеха DevSecOps».

Чтобы прочитать полный отчет, посетите https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

О Synopsys Группа обеспечения целостности программного обеспечения
Synopsys Software Integrity Group помогает организациям создавать безопасное и высококачественное программное обеспечение, сводя к минимуму риски и максимально повышая скорость и производительность. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и устранять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию ведущих в отрасли инструментов, услуг и опыта, только Synopsys помогает организациям максимизировать безопасность и качество в DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/программное обеспечение.

О нас Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Являясь 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys уже давно является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой интеллектуальной собственности, а также укрепляет свое лидерство в области решений для обеспечения безопасности и обеспечения качества программного обеспечения. Являетесь ли вы разработчиком систем на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим приложения, требующие высочайшей безопасности и качества, Synopsys предлагает решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###