опубликовано

Краткое содержание редактора: Synopsys, один из ведущих поставщиков кибербезопасности в мире, опубликовал электронную книгу о «современной безопасности разработки приложений». В электронной книге поставщик подробно описал опрос специалистов по кибербезопасности и разработке приложений, проведенный ESG, и показал, что почти половина (48%) респондентов сознательно развертывают уязвимый код на рынке из-за нехватки времени. Новостной релиз производителя находится ниже.

Исследование DevSecOps показало, что почти половина организаций сознательно развертывает уязвимые приложения из-за нехватки времени

В исследовании, проведенном аналитической компанией ESG, изучаются тенденции и проблемы безопасности, возникающие при разработке современных приложений.

СИНГАПУР, @mcgallen #microwireinfo, 12 августа 2020 г .: Synopsys, Inc (Nasdaq: СНПС) сегодня выпустил Электронная книга «Безопасность современной разработки приложений». Основываясь на опросе профессионалов в области кибербезопасности и разработки приложений, проведенном Enterprise Strategy Group (ESG), в электронной книге подчеркивается, насколько группы безопасности понимают современные методы разработки и развертывания и где меры безопасности необходимы для снижения риска. Исследование показало, что почти половина (48%) респондентов сознательно запускают уязвимый код в рабочую среду из-за нехватки времени. В исследовании также указано, что интеграции, дополняющие высокоскоростную разработку приложений, наиболее важны, по мнению 43% респондентов, для улучшения программ безопасности приложений.

«DevSecOps выдвинул безопасность на передний план в мире современных разработок; однако команды безопасности и разработки руководствуются разными показателями, что затрудняет согласование целей », - сказал Дэйв Грубер, старший аналитик ESG. «Это еще больше усугубляется тем фактом, что большинству групп безопасности не хватает понимания современных методов разработки приложений. Переход к архитектуре, управляемой микросервисами, а также к использованию контейнеров и бессерверных архитектур изменил динамику того, как разработчики создают, тестируют и развертывают код ».

Synopsys поручила ESG, ведущему ИТ-аналитику и исследовательской организации, задокументировать динамику между группами разработчиков и группами кибербезопасности в отношении развертывания и управления решениями для обеспечения безопасности приложений. ESG опросила 378 квалифицированных специалистов по кибербезопасности, которые разбираются в технологиях разработки приложений безопасности и несут ответственность за них, а также специалистов по разработке приложений, занимающихся защитой инструментов и процессов разработки. Респонденты опроса работают в организациях различных отраслевых вертикалей, включая производство, финансовые услуги, строительство/инжиниринг и бизнес-услуги, в том числе в США и Канаде.

«Ключевые выводы, полученные в ходе этого исследования, подчеркивают тот факт, что организациям необходимо целостно подходить к безопасности приложений на протяжении всего жизненного цикла разработки, — сказал Патрик Кэри, директор по маркетингу продуктов компании Synopsys Группа целостности программного обеспечения. «Из организаций, сознательно запускающих уязвимый код в производство, 45% делают это потому, что выявленные уязвимости были обнаружены слишком поздно в цикле, чтобы вовремя их устранить. Это подтверждает важность изменения безопасности, оставшейся в процессе разработки, что позволяет командам разработчиков постоянно обучаться, а также использовать инструментальные решения, дополняющие их текущие процессы, чтобы они могли безопасно кодировать без негативного влияния на их скорость».

Ключевые выводы исследования:

  • Большинство организаций считают, что их программа безопасности приложений эффективна, хотя многие по-прежнему запускают уязвимые приложения в производство. Шестьдесят девять процентов респондентов оценивают эффективность своей текущей программы на 8 или выше по шкале от 0 до 10 (10 - самая эффективная). Однако, поскольку почти половина организаций сознательно продвигает уязвимый код на регулярной основе, большинство из них сталкивались с эксплойтами производственных приложений, содержащих 10 самых уязвимых уязвимостей OWASP за последние 12 месяцев.
  • Интеграция DevOps - важный элемент для улучшения. Более четверти респондентов заявили, что их текущие инструменты безопасности приложений увеличивают трение и замедляют циклы разработки, в то время как 23% считают плохую интеграцию с инструментами разработки / DevOps общей проблемой. Кроме того, 26% респондентов отмечают трудности или отсутствие интеграции между инструментами различных поставщиков безопасности приложений в качестве общей проблемы безопасности приложений.
  • Разработчики играют важную роль в обеспечении безопасности приложений, но им не хватает навыков и подготовки. Почти треть (29%) респондентов заявили, что разработчикам в их организации не хватает знаний для устранения проблем, выявленных их текущими инструментами безопасности приложений. Кроме того, только 17% говорят, что их разработчики используют обучение по принципу «точно в срок», доступное в их инструментах безопасности, и только 29% обязаны проходить обучение не реже одного раза в квартал.
  • Организации планируют увеличить расходы на безопасность приложений. Более половины (51%) респондентов сообщают о планах значительного увеличения расходов на безопасность приложений в течение следующих 12 месяцев. Сорок четыре процента планируют направить инвестиции в безопасность приложений в облако.
  • Распространение инструментов AppSec побуждает многие организации вкладывать средства в консолидацию.Многие организации изо всех сил пытаются интегрировать и управлять количеством имеющихся инструментов, что часто приводит к снижению эффективности их программ безопасности, а также направляет чрезмерное количество ресурсов на управление ими. Поскольку 70% используют более десяти инструментов, сложность становится ключевой проблемой, и в результате более трети компаний направляют свои инвестиции на консолидацию.

Чтобы узнать больше, загрузите копию Электронная книга «Безопасность современной разработки приложений», зарегистрируйтесь на сентябрьский Вебинар, или прочтите наши новые блоге выделение результатов исследования.

О Synopsys Группа обеспечения целостности программного обеспечения

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и высококачественное программное обеспечение, сводя к минимуму риски и максимально повышая скорость и производительность. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и устранять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию ведущих в отрасли инструментов, услуг и опыта, только Synopsys помогает организациям оптимизировать безопасность и качество в DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/программное обеспечение.

О нас Synopsys

Synopsys, Inc. (NASDAQ: СНПС) является партнером Silicon to Software™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Являясь 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys уже давно является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой интеллектуальной собственности, а также укрепляет свое лидерство в области решений для обеспечения безопасности и обеспечения качества программного обеспечения. Являетесь ли вы разработчиком систем на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим приложения, требующие высочайшей безопасности и качества, Synopsys предлагает решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###