Đăng trên

Theo nghiên cứu mới của 451 Research and Synopsys, bảo mật trong DevOps đang chậm lại mặc dù có lợi thế và cơ hội

Khảo sát chỉ tiết lộ một nửa quy trình làm việc CI / CD bao gồm các yếu tố kiểm tra bảo mật ứng dụng

Singapore, @mcgallen #microwireinfo, ngày 26 tháng 2018 năm 451 - Synopsys, Inc. (Nasdaq: SNPS) hôm nay đã phát hành dữ liệu mới nêu bật những cơ hội và thách thức mà nhóm DevOps doanh nghiệp phải đối mặt trong việc kết hợp bảo mật ứng dụng trong quy trình tích hợp liên tục và phân phối liên tục (CI / CD) của họ. Báo cáo Nghiên cứu 350 được ủy quyền bởi Synopsys, DevSecOps Realities and Opportunities, phân tích kết quả khảo sát từ XNUMX người ra quyết định doanh nghiệp tại các doanh nghiệp lớn trong nhiều ngành khác nhau. Nghiên cứu cho thấy chỉ một nửa quy trình làm việc CI / CD bao gồm các yếu tố kiểm tra bảo mật ứng dụng mặc dù những người được hỏi đã nêu nhận thức về tầm quan trọng và lợi thế của việc làm đó.

Jay Lyman, nhà phân tích chính của DevOps tại 451 cho biết: “Trong khi một số nhóm DevOps đang bắt đầu kết hợp bảo mật ứng dụng vào quy trình làm việc CI / CD của họ, được thúc đẩy bởi các yếu tố như chất lượng phần mềm được cải thiện, tuân thủ và tránh rủi ro, thì vẫn còn rất nhiều chỗ để cải thiện. Nghiên cứu. “Trong nhiều trường hợp, kiểm tra bảo mật không được tích hợp thường xuyên hoặc đủ sớm trong quy trình để các tổ chức có thể hưởng lợi đầy đủ từ việc giảm thiểu rủi ro và làm lại các vấn đề đau đầu”.

Các nhóm DevOps ngày nay đang làm việc với các cơ sở hạ tầng quy mô lớn, phát hành phần mềm nhanh hơn và làm như vậy với những thay đổi mã đáng kể trong mỗi bản phát hành. Sáu mươi ba phần trăm người được hỏi nói rằng họ mong đợi triển khai phần mềm nhanh hơn ít nhất bốn lần trong mô hình DevOps. Nếu không có một chiến lược rõ ràng và đầy đủ thông tin, điều này có thể làm cho việc thiết lập và mở rộng kiểm tra bảo mật ứng dụng trong các quy trình này trở nên phức tạp và khó khăn.

Trong khi các tổ chức cho rằng thiếu tự động hóa và tính nhất quán, tốc độ giảm và tiếng ồn của kết quả dương tính giả là những thách thức chính của DevSecOps, cuộc khảo sát cũng cho thấy rằng việc sử dụng các công cụ tự động được tích hợp sớm trong vòng đời phát triển phần mềm có thể có tác động tích cực đến cả tốc độ và chất lượng tổng thể và bảo mật của phần mềm.

Cuộc khảo sát cũng tiết lộ rằng phân tích thành phần phần mềm (SCA), hoặc xác định các thành phần phần mềm nguồn mở bị ảnh hưởng bởi các lỗ hổng đã biết, là yếu tố bảo mật ứng dụng quan trọng nhất cần được kết hợp vào quy trình làm việc CI / CD. Điều thú vị là, cuộc khảo sát cũng chỉ ra rằng gần 40% tổ chức hoặc không thực hiện SCA hoặc tuyên bố không sử dụng bất kỳ thành phần mã nguồn mở nào - điều này có thể thể hiện sự thiếu nhận thức cho rằng một Báo cáo phân tích rủi ro và bảo mật nguồn mở của Black Duck Software nhận thấy rằng hơn 95% ứng dụng chứa mã nguồn mở.

Andreas Kuehlmann, tổng giám đốc của Synopsys Software Integrity Group, cho biết: “DevSecOps mang đến một cơ hội để biến bảo mật ứng dụng trở thành một phần của cấu trúc văn hóa và công nghệ của các mô hình triển khai và phát triển hiện đại, tốc độ cao. “Nghiên cứu này nêu bật nhiều cơ hội và thách thức mà nhóm DevOps phải đối mặt trong việc thích ứng và áp dụng các công cụ bảo mật ứng dụng và các phương pháp hay nhất. Nó cũng xác nhận rằng tự động hóa, tốc độ, độ chính xác và tích hợp CI / CD, các thuộc tính mà Synopsys đã tích hợp trong các giải pháp bảo mật ứng dụng của nó, là rất quan trọng để làm cho DevSecOps thành công. ”

Để đọc toàn bộ báo cáo, hãy truy cập https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys
Synopsys Software Integrity Group giúp các tổ chức xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và các giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và lỗi trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối đa hóa tính bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys
Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #