发表于

451 Research和Synopsys的新研究显示,尽管有优势和机遇,但DevOps的安全性却滞后

调查显示,只有一半的CI / CD工作流包含应用程序安全测试元素

新加坡,@mcgallen#microwire信息,26年2018月451日– Synopsys,Inc.(纳斯达克股票代码:SNPS)今天发布了新数据,突出了企业DevOps团队在将应用程序安全性纳入其持续集成和持续交付(CI / CD)工作流程中时所面临的机遇和挑战。 由Synopsys,DevSecOps Realities and Opportunities委托撰写的350 Research报告分析了来自各行各业的大型企业中XNUMX位企业决策者的调查结果。 该研究发现,尽管受访者表示意识到这样做的重要性和优势,但只有一半的CI / CD工作流包含应用程序安全测试元素。

“一些DevOps团队在提高软件质量,合规性和规避风险等因素的推动下,将应用程序安全性纳入其CI / CD工作流中,但仍有很大的改进空间,” 451 DevOps首席分析师Jay Lyman说。研究。 “在很多情况下,安全测试在过程中没有得到足够频繁或足够早的整合,组织无法从降低的风险和返工的麻烦中充分受益。”

如今,DevOps团队正在使用大型基础架构,以更快的速度发布软件,并在每个版本中进行重大代码更改。 百分之六十三的受访者表示,他们希望在DevOps模型中部署软件的速度至少快四倍。 如果没有清晰,明智的策略,这将使在这些流程中建立和扩展应用程序安全性测试变得复杂而困难。

尽管组织将缺乏自动化和一致性,降低速度以及误报的噪音作为DevSecOps的主要挑战,但调查还表明,在软件开发生命周期的早期使用集成的自动化工具可能会对DevSecOps产生积极影响。软件的速度以及整体质量和安全性。

调查还显示,软件组成分析(SCA)或受已知漏洞影响的开源软件组件的标识是需要整合到CI / CD工作流程中的最关键的应用程序安全元素。 有趣的是,调查还显示,将近40%的组织未执行SCA或声称不使用任何开源组件–考虑到以前的 开源安全和风险分析报告 Black Duck Software的研究发现,超过95%的应用程序包含开源。

Synopsys软件完整性集团总经理Andreas Kuehlmann表示:“ DevSecOps提供了将应用程序安全性纳入现代,高速开发和部署模型的文化和技术架构的机会。 “这项研究凸显了DevOps团队在适应和应用应用程序安全工具和最佳实践方面面临的许多机遇和挑战。 它还验证了Synopsys已在其应用程序安全解决方案中内置的自动化,速度,准确性和CI / CD集成属性,对​​于使DevSecOps成功至关重要。

要阅读完整报告,请访问 https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

关于Synopsys软件完整性小组
Synopsys软件完整性小组可帮助组织构建安全,高质量的软件,在最大程度提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中最大限度地提高安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys
Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 www.synopsys.com.

###