опубликовано

Краткое содержание редактора: Synopsys, один из ведущих мировых поставщиков средств кибербезопасности, опубликовал электронную книгу «Безопасность современной разработки приложений». В электронной книге поставщик подробно описал опрос профессионалов в области кибербезопасности и разработки приложений, проведенный ESG, и показал, что почти половина (48%) респондентов сознательно развертывают уязвимый код на рынке из-за нехватки времени. Пресс-релиз производителя находится ниже.

Исследование DevSecOps показало, что почти половина организаций сознательно развертывает уязвимые приложения из-за нехватки времени

В исследовании, проведенном аналитической компанией ESG, изучаются тенденции и проблемы безопасности, возникающие при разработке современных приложений.

СИНГАПУР, @mcgallen #microwireinfo, 12 августа 2020 г .: Synopsys, Inc. (Nasdaq: СНПС) сегодня выпустил Электронная книга «Безопасность современной разработки приложений». Основываясь на опросе профессионалов в области кибербезопасности и разработки приложений, проведенном Enterprise Strategy Group (ESG), в электронной книге подчеркивается, насколько группы безопасности понимают современные методы разработки и развертывания и где меры безопасности необходимы для снижения риска. Исследование показало, что почти половина (48%) респондентов сознательно запускают уязвимый код в рабочую среду из-за нехватки времени. В исследовании также указано, что интеграции, дополняющие высокоскоростную разработку приложений, наиболее важны, по мнению 43% респондентов, для улучшения программ безопасности приложений.

«DevSecOps выдвинул безопасность на передний план в мире современных разработок; однако команды безопасности и разработки руководствуются разными показателями, что затрудняет согласование целей », - сказал Дэйв Грубер, старший аналитик ESG. «Это еще больше усугубляется тем фактом, что большинству групп безопасности не хватает понимания современных методов разработки приложений. Переход к архитектуре, управляемой микросервисами, а также к использованию контейнеров и бессерверных архитектур изменил динамику того, как разработчики создают, тестируют и развертывают код ».

Synopsys поручила компании ESG, ведущей ИТ-аналитической и исследовательской организации, документировать динамику взаимодействия групп разработчиков и групп по кибербезопасности в отношении развертывания решений безопасности приложений и управления ими. ESG опросила 378 квалифицированных профессионалов в области кибербезопасности, разбирающихся в технологиях разработки приложений безопасности и отвечающих за них, а также специалистов по разработке приложений, занимающихся защитой инструментов и процессов разработки. Респонденты опроса работают в организациях в различных отраслях промышленности, включая производство, финансовые услуги, строительство / инжиниринг и бизнес-услуги, в том числе в США и Канаде.

«Ключевые выводы, выявленные в этом исследовании, подчеркивают тот факт, что организациям необходимо комплексно решать вопросы безопасности приложений на протяжении всего жизненного цикла разработки», - сказал Патрик Кэри, директор по маркетингу продуктов Synopsys Software Integrity Group. «Из организаций, сознательно внедряющих уязвимый код в производственную среду, 45% делают это потому, что выявленные уязвимости были обнаружены слишком поздно в цикле, чтобы вовремя их устранить. Это еще раз подтверждает важность переноса безопасности, оставшейся в процессе разработки, позволяя командам разработчиков проходить постоянное обучение, а также использовать инструментальные решения, дополняющие их текущие процессы, чтобы они могли безопасно кодировать без отрицательного влияния на их скорость ».

Ключевые выводы исследования:

  • Большинство организаций считают, что их программа безопасности приложений эффективна, хотя многие по-прежнему запускают уязвимые приложения в производство. Шестьдесят девять процентов респондентов оценивают эффективность своей текущей программы на 8 или выше по шкале от 0 до 10 (10 - самая эффективная). Однако, поскольку почти половина организаций сознательно продвигает уязвимый код на регулярной основе, большинство из них сталкивались с эксплойтами производственных приложений, содержащих 10 самых уязвимых уязвимостей OWASP за последние 12 месяцев.
  • Интеграция DevOps - важный элемент для улучшения. Более четверти респондентов заявили, что их текущие инструменты безопасности приложений увеличивают трение и замедляют циклы разработки, в то время как 23% считают плохую интеграцию с инструментами разработки / DevOps общей проблемой. Кроме того, 26% респондентов отмечают трудности или отсутствие интеграции между инструментами различных поставщиков безопасности приложений в качестве общей проблемы безопасности приложений.
  • Разработчики играют важную роль в обеспечении безопасности приложений, но им не хватает навыков и подготовки. Почти треть (29%) респондентов заявили, что разработчикам в их организации не хватает знаний для устранения проблем, выявленных их текущими инструментами безопасности приложений. Кроме того, только 17% говорят, что их разработчики используют обучение по принципу «точно в срок», доступное в их инструментах безопасности, и только 29% обязаны проходить обучение не реже одного раза в квартал.
  • Организации планируют увеличить расходы на безопасность приложений. Более половины (51%) респондентов сообщают о планах значительного увеличения расходов на безопасность приложений в течение следующих 12 месяцев. Сорок четыре процента планируют направить инвестиции в безопасность приложений в облако.
  • Распространение инструментов AppSec побуждает многие организации вкладывать средства в консолидацию.Многие организации изо всех сил пытаются интегрировать и управлять количеством имеющихся инструментов, что часто приводит к снижению эффективности их программ безопасности, а также направляет чрезмерное количество ресурсов на управление ими. Поскольку 70% используют более десяти инструментов, сложность становится ключевой проблемой, и в результате более трети компаний направляют свои инвестиции на консолидацию.

Чтобы узнать больше, загрузите копию Электронная книга «Безопасность современной разработки приложений», зарегистрируйтесь на сентябрьский Вебинар, или прочтите наши новые блоге выделение результатов исследования.

О группе обеспечения целостности программного обеспечения Synopsys

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys

Synopsys, Inc. (Nasdaq: СНПС) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой защиты, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###