Đăng trên

Tóm tắt của biên tập viên: Synopsys, một trong những nhà cung cấp an ninh mạng hàng đầu trên thế giới, đã xuất bản một ebook về “bảo mật phát triển ứng dụng hiện đại”. Trong ebook, nhà cung cấp đã trình bày chi tiết một cuộc khảo sát về các chuyên gia an ninh mạng và appdev do ESG thực hiện và cho thấy gần một nửa (48%) người được hỏi triển khai một cách có ý thức mã dễ bị tấn công ra thị trường do thời gian hạn chế. Dưới đây là bản phát hành tin tức của nhà cung cấp.

Nghiên cứu DevSecOps phát hiện ra rằng gần một nửa số tổ chức triển khai có ý thức các ứng dụng dễ bị tổn thương do áp lực thời gian

Nghiên cứu do công ty phân tích ESG thực hiện nhằm khám phá các xu hướng bảo mật và thách thức đang nổi lên trong phát triển ứng dụng hiện đại

SINGAPORE, @mcgallen #microwirethông tin, ngày 12 tháng 2020 năm XNUMX: Synopsys, Inc. (Nasdaq: SNPS) hôm nay đã phát hành Sách điện tử “Bảo mật phát triển ứng dụng hiện đại”. Dựa trên một cuộc khảo sát về các chuyên gia phát triển ứng dụng và an ninh mạng do Nhóm Chiến lược Doanh nghiệp (ESG) thực hiện, sách điện tử nêu bật mức độ mà các nhóm bảo mật hiểu được các phương pháp triển khai và phát triển hiện đại cũng như các biện pháp kiểm soát bảo mật được yêu cầu để giảm rủi ro. Nghiên cứu cho thấy gần một nửa (48%) người trả lời khảo sát có ý thức đẩy mã dễ bị tổn thương vào sản xuất do áp lực thời gian. Nghiên cứu cũng xác định rằng việc tích hợp bổ sung cho việc phát triển ứng dụng tốc độ cao là quan trọng nhất, theo 43% người được hỏi, để cải thiện các chương trình bảo mật ứng dụng.

“DevSecOps đã thay đổi vị trí và trung tâm an ninh trong thế giới phát triển hiện đại; tuy nhiên, các nhóm bảo mật và phát triển được thúc đẩy bởi các số liệu khác nhau, khiến cho việc điều chỉnh mục tiêu trở nên khó khăn, ”Dave Gruber, Chuyên gia phân tích ESG cấp cao cho biết. “Điều này càng trở nên trầm trọng hơn bởi thực tế là hầu hết các đội bảo mật thiếu hiểu biết về thực tiễn phát triển ứng dụng hiện đại. Việc chuyển sang các kiến ​​trúc dựa trên microservices và việc sử dụng các thùng chứa và kiến ​​trúc không máy chủ đã thay đổi động lực của cách các nhà phát triển xây dựng, kiểm tra và triển khai mã. ”

Synopsys đã ủy quyền cho ESG, một tổ chức nghiên cứu và phân tích CNTT hàng đầu, ghi lại những thông tin chi tiết về động lực giữa các nhóm phát triển và nhóm an ninh mạng liên quan đến việc triển khai và quản lý các giải pháp bảo mật ứng dụng. ESG đã khảo sát 378 chuyên gia an ninh mạng đủ điều kiện với cái nhìn sâu sắc và trách nhiệm đối với các công nghệ phát triển ứng dụng bảo mật và các chuyên gia phát triển ứng dụng liên quan đến các công cụ và quy trình phát triển bảo mật. Những người trả lời khảo sát làm việc tại các tổ chức trong nhiều ngành dọc bao gồm sản xuất, dịch vụ tài chính, xây dựng / kỹ thuật và dịch vụ kinh doanh, trong số những tổ chức khác trên khắp Hoa Kỳ và Canada.

Patrick Carey, Giám đốc Tiếp thị Sản phẩm của Synopsys Software Integrity Group cho biết: “Những hiểu biết quan trọng được xác định trong nghiên cứu này nhấn mạnh thực tế rằng các tổ chức cần phải giải quyết vấn đề bảo mật ứng dụng một cách tổng thể trong suốt vòng đời phát triển. “Trong số các tổ chức có ý thức đẩy mã dễ bị tổn thương vào sản xuất, 45% làm như vậy vì các lỗ hổng được xác định đã được phát hiện quá muộn trong chu kỳ để giải quyết chúng kịp thời. Điều này tái khẳng định tầm quan trọng của việc chuyển dịch bảo mật còn lại trong quá trình phát triển, cho phép các nhóm phát triển được đào tạo liên tục cũng như các giải pháp công cụ bổ sung cho các quy trình hiện tại của họ để họ có thể viết mã an toàn mà không ảnh hưởng tiêu cực đến tốc độ của họ. "

Những hiểu biết chính từ nghiên cứu bao gồm:

  • Hầu hết các tổ chức tin rằng chương trình bảo mật ứng dụng của họ là hiệu quả, mặc dù nhiều tổ chức vẫn đẩy các ứng dụng dễ bị tấn công vào sản xuất. Sáu mươi chín phần trăm người trả lời khảo sát đánh giá hiệu quả của chương trình hiện tại của họ là 8 hoặc cao hơn trên thang điểm từ 0 đến 10 (với 10 là hiệu quả nhất). Tuy nhiên, gần một nửa số tổ chức thường xuyên đẩy mã dễ bị tấn công một cách có ý thức, hầu hết đã trải qua các vụ khai thác ứng dụng sản xuất liên quan đến 10 lỗ hổng hàng đầu của OWASP trong 12 tháng qua.
  • Tích hợp DevOps là một yếu tố quan trọng để cải tiến. Hơn một phần tư số người được hỏi nói rằng các công cụ bảo mật ứng dụng hiện tại của họ gây thêm khó khăn và làm chậm chu kỳ phát triển, trong khi 23% xác định việc tích hợp kém với các công cụ phát triển / DevOps là một thách thức chung. Ngoài ra, 26% số người được hỏi lưu ý rằng khó khăn hoặc thiếu tích hợp giữa các công cụ của nhà cung cấp bảo mật ứng dụng khác nhau là một thách thức chung về bảo mật ứng dụng.
  • Các nhà phát triển đóng một vai trò quan trọng trong bảo mật ứng dụng, nhưng họ thiếu các kỹ năng và đào tạo. Gần một phần ba (29%) số người được hỏi bày tỏ rằng các nhà phát triển trong tổ chức của họ thiếu kiến ​​thức để giảm thiểu các vấn đề được xác định bởi các công cụ bảo mật ứng dụng hiện tại của họ. Hơn nữa, chỉ 17% nói rằng các nhà phát triển của họ sử dụng đào tạo kịp thời có sẵn trong các công cụ bảo mật của họ và chỉ 29% được yêu cầu tham gia đào tạo ít nhất một lần mỗi quý.
  • Các tổ chức đang có kế hoạch tăng chi tiêu cho bảo mật ứng dụng. Hơn một nửa (51%) số người được hỏi báo cáo có kế hoạch tăng đáng kể chi tiêu cho bảo mật ứng dụng trong 12 tháng tới. Bốn mươi bốn phần trăm có kế hoạch nhắm mục tiêu đầu tư bảo mật ứng dụng vào đám mây.
  • Sự gia tăng của công cụ AppSec đang thúc đẩy nhiều tổ chức đầu tư vào việc hợp nhất.Nhiều tổ chức đang gặp khó khăn trong việc tích hợp và quản lý số lượng các công cụ tại chỗ, thường dẫn đến việc giảm hiệu quả của chương trình bảo mật của họ đồng thời chỉ đạo một lượng tài nguyên không đáng kể để quản lý chúng. Với 70% sử dụng hơn mười công cụ, sự phức tạp trở thành vấn đề then chốt và kết quả là hơn một phần ba đang tập trung đầu tư vào hợp nhất.

Để tìm hiểu thêm, hãy tải xuống bản sao của Sách điện tử “Bảo mật phát triển ứng dụng hiện đại”, đăng ký cho tháng XNUMX của chúng tôi webinarhoặc đọc mới của chúng tôi blog đăng bài làm nổi bật những phát hiện của cuộc khảo sát.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là một nhà thiết kế hệ thống trên chip (SoC) tạo ra các chất bán dẫn tiên tiến hay một nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #