Đăng trên

Bảo mật trong DevOps đang chậm lại mặc dù có những thuận lợi và cơ hội, theo một nghiên cứu mới của 451 Research và Synopsys

Khảo sát chỉ tiết lộ một nửa quy trình làm việc CI / CD bao gồm các yếu tố kiểm tra bảo mật ứng dụng

Singapore, @mcgallen #microwirethông tin, ngày 26 tháng 2018 năm XNUMX - Synopsys, Inc. (Nasdaq: SNPS) hôm nay đã phát hành dữ liệu mới nêu bật những cơ hội và thách thức mà nhóm DevOps của doanh nghiệp phải đối mặt trong việc kết hợp bảo mật ứng dụng trong quy trình làm việc tích hợp liên tục và phân phối liên tục (CI / CD) của họ. Báo cáo nghiên cứu 451 do Synopsys, DevSecOps Realities and Opportunities, phân tích kết quả khảo sát từ 350 người ra quyết định doanh nghiệp tại các doanh nghiệp lớn trong nhiều ngành khác nhau. Nghiên cứu cho thấy chỉ một nửa quy trình làm việc CI / CD bao gồm các yếu tố kiểm tra bảo mật ứng dụng mặc dù những người được hỏi đã nêu nhận thức về tầm quan trọng và lợi thế của việc làm đó.

Jay Lyman, nhà phân tích chính của DevOps tại 451 cho biết: “Trong khi một số nhóm DevOps đang bắt đầu kết hợp bảo mật ứng dụng vào quy trình làm việc CI / CD của họ, được thúc đẩy bởi các yếu tố như chất lượng phần mềm được cải thiện, tuân thủ và tránh rủi ro, thì vẫn còn rất nhiều chỗ để cải thiện. Nghiên cứu. “Trong nhiều trường hợp, kiểm tra bảo mật không được tích hợp thường xuyên hoặc đủ sớm trong quy trình để các tổ chức có thể hưởng lợi đầy đủ từ việc giảm thiểu rủi ro và làm lại các vấn đề đau đầu”.

Các nhóm DevOps ngày nay đang làm việc với các cơ sở hạ tầng quy mô lớn, phát hành phần mềm nhanh hơn và làm như vậy với những thay đổi mã đáng kể trong mỗi bản phát hành. Sáu mươi ba phần trăm người được hỏi nói rằng họ mong đợi triển khai phần mềm nhanh hơn ít nhất bốn lần trong mô hình DevOps. Nếu không có một chiến lược rõ ràng và đầy đủ thông tin, điều này có thể làm cho việc thiết lập và mở rộng kiểm tra bảo mật ứng dụng trong các quy trình này trở nên phức tạp và khó khăn.

Trong khi các tổ chức cho rằng thiếu tự động hóa và tính nhất quán, tốc độ giảm và tiếng ồn của kết quả dương tính giả là những thách thức chính của DevSecOps, cuộc khảo sát cũng cho thấy rằng việc sử dụng các công cụ tự động được tích hợp sớm trong vòng đời phát triển phần mềm có thể có tác động tích cực đến cả tốc độ và chất lượng tổng thể và bảo mật của phần mềm.

Cuộc khảo sát cũng tiết lộ rằng phân tích thành phần phần mềm (SCA), hoặc xác định các thành phần phần mềm nguồn mở bị ảnh hưởng bởi các lỗ hổng đã biết, là yếu tố bảo mật ứng dụng quan trọng nhất cần được kết hợp vào quy trình làm việc CI / CD. Điều thú vị là, cuộc khảo sát cũng chỉ ra rằng gần 40% tổ chức hoặc không thực hiện SCA hoặc tuyên bố không sử dụng bất kỳ thành phần mã nguồn mở nào - điều này có thể thể hiện sự thiếu nhận thức cho rằng một Báo cáo phân tích rủi ro và bảo mật nguồn mở của Black Duck Software nhận thấy rằng hơn 95% ứng dụng chứa mã nguồn mở.

Andreas Kuehlmann, tổng giám đốc của Synopsys Nhóm toàn vẹn phần mềm. “Nghiên cứu này nêu bật nhiều cơ hội và thách thức mà nhóm DevOps phải đối mặt trong việc thích ứng và áp dụng các công cụ bảo mật ứng dụng và các phương pháp hay nhất. Nó cũng xác nhận rằng tự động hóa, tốc độ, độ chính xác và tích hợp CI / CD, các thuộc tính Synopsys đã tích hợp sẵn các giải pháp bảo mật ứng dụng của mình, là yếu tố quan trọng để tạo nên thành công cho DevSecOps. ”

Để đọc toàn bộ báo cáo, hãy truy cập https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

Giới thiệu về Synopsys Nhóm toàn vẹn phần mềm
Synopsys Software Integrity Group giúp các tổ chức xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, một công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp các giải pháp phân tích tĩnh, phân tích thành phần phần mềm và phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và lỗi trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys giúp các tổ chức tối đa hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com / phần mềm.

Giới thiệu Synopsys
Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang ngày càng dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsysnăm.

# # #