опубликовано

Согласно новому исследованию 451 Research and Synopsys, безопасность в DevOps отстает, несмотря на преимущества и возможности.

Исследование показывает, что только половина рабочих процессов CI / CD включает элементы тестирования безопасности приложений

Сингапур, @mcgallen #microwireinfo, 26 апреля 2018 г. - Компания Synopsys, Inc. (Nasdaq: SNPS) сегодня опубликовала новые данные, которые подчеркивают возможности и проблемы, с которыми сталкиваются корпоративные группы DevOps при включении безопасности приложений в свои рабочие процессы непрерывной интеграции и непрерывной доставки (CI / CD). Отчет 451 Research, подготовленный по заказу Synopsys, DevSecOps Realities and Opportunities, анализирует результаты опроса 350 руководителей крупных предприятий из различных отраслей. Исследование показало, что только половина рабочих процессов CI / CD включает элементы тестирования безопасности приложений, несмотря на то, что респонденты указали на осведомленность о важности и преимуществах этого.

«В то время как некоторые команды DevOps начинают включать безопасность приложений в свои рабочие процессы CI / CD, движимые такими факторами, как повышение качества программного обеспечения, соответствие нормативным требованиям и предотвращение рисков, есть много возможностей для улучшения», - сказал Джей Лайман, главный аналитик DevOps на 451 Исследовательская работа. «Во многих случаях тестирование безопасности не интегрируется часто или на достаточно ранних этапах процесса, чтобы организации могли в полной мере воспользоваться снижением рисков и переделывать головные боли».

Сегодня команды DevOps работают с крупномасштабными инфраструктурами, быстрее выпускают программное обеспечение и делают это со значительными изменениями кода в каждом выпуске. Шестьдесят три процента респондентов заявили, что ожидают развертывания программного обеспечения как минимум в четыре раза быстрее в модели DevOps. Без четкой и информированной стратегии это может сделать создание и масштабирование тестирования безопасности приложений в рамках этих процессов сложным и трудным.

В то время как организации назвали основными проблемами DevSecOps отсутствие автоматизации и согласованности, снижение скорости и шум ложных срабатываний, опрос также показал, что использование автоматизированных инструментов, интегрированных на ранних этапах жизненного цикла разработки программного обеспечения, может оказать положительное влияние на как скорость, так и общее качество и безопасность программного обеспечения.

Опрос также показал, что анализ состава программного обеспечения (SCA) или идентификация компонентов программного обеспечения с открытым исходным кодом, подверженных известным уязвимостям, является наиболее важным элементом безопасности приложений, который необходимо включить в рабочие процессы CI / CD. Интересно, что опрос также показал, что почти 40% организаций либо не выполняют SCA, либо заявляют, что не используют какие-либо компоненты с открытым исходным кодом, что может свидетельствовать о недостаточной осведомленности, учитывая, что предыдущие Отчет о безопасности и анализе рисков с открытым исходным кодом от Black Duck Software выяснили, что более 95% приложений содержат открытый исходный код.

«DevSecOps дает возможность сделать безопасность приложений частью культурной и технологической структуры современных моделей высокоскоростной разработки и развертывания», - сказал Андреас Кюльманн, генеральный менеджер Synopsys Software Integrity Group. «Это исследование подчеркивает многие возможности и проблемы, с которыми сталкивается команда DevOps при адаптации и применении инструментов и передовых методов обеспечения безопасности приложений. Он также подтверждает, что автоматизация, скорость, точность и интеграция CI / CD - атрибуты, которые Synopsys встроила в свои решения для обеспечения безопасности приложений, - критически важны для успеха DevSecOps ».

Чтобы прочитать полный отчет, посетите https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

О группе обеспечения целостности программного обеспечения Synopsys
Synopsys Software Integrity Group помогает организациям создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям максимально повысить безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###