發佈於

451 Research和Synopsys的最新研究表明,儘管有優勢和機遇,但DevOps的安全性卻滯後

調查顯示,只有一半的CI / CD工作流包含應用程序安全測試元素

新加坡,@mcgallen#microwire信息,26年2018月451日– Synopsys,Inc.(納斯達克股票代碼:SNPS)今天發布了新數據,突出了企業DevOps團隊在將應用程序安全性納入其持續集成和持續交付(CI / CD)工作流程中時所面臨的機遇和挑戰。 由Synopsys,DevSecOps Realities and Opportunities委託撰寫的350 Research報告分析了來自各行各業的大型企業中XNUMX位企業決策者的調查結果。 該研究發現,儘管受訪者表示意識到這樣做的重要性和優勢,但只有一半的CI / CD工作流包含應用程序安全測試元素。

“一些DevOps團隊在提高軟件質量,合規性和規避風險等因素的推動下,開始將應用程序安全性納入其CI / CD工作流中,但仍有很大的改進空間,” 451的DevOps首席分析師研究。 “在許多情況下,安全測試在過程中沒有得到足夠頻繁或足夠早的整合,組織無法從降低的風險和返工的麻煩中完全受益。”

如今,DevOps團隊正在使用大型基礎架構,以更快的速度發佈軟件,並在每個版本中進行重大代碼更改。 XNUMX%的受訪者表示,他們希望在DevOps模型中將軟件部署速度至少提高四倍。 如果沒有清晰,明智的策略,這將使在這些流程中建立和擴展應用程序安全性測試變得複雜而困難。

儘管組織將缺乏自動化和一致性,降低速度以及誤報的噪音作為DevSecOps的主要挑戰,但調查還表明,在軟件開發生命週期的早期使用集成的自動化工具可能會對DevSecOps產生積極影響。軟件的速度以及整體質量和安全性。

調查還顯示,軟件組成分析(SCA)或受已知漏洞影響的開源軟件組件的標識是需要整合到CI / CD工作流程中的最關鍵的應用程序安全元素。 有趣的是,調查還顯示,將近40%的組織未執行SCA或聲稱不使用任何開源組件–考慮到以前的 開源安全和風險分析報告 Black Duck Software的研究發現,超過95%的應用程序包含開源。

Synopsys軟件完整性集團總經理Andreas Kuehlmann表示:“ DevSecOps提供了將應用程序安全性納入現代,高速開發和部署模型的文化和技術架構的機會。 “這項研究凸顯了DevOps團隊在適應和應用應用程序安全工具和最佳實踐方面面臨的許多機遇和挑戰。 它還證實了Synopsys已在其應用程序安全解決方案中內置的自動化,速度,準確性和CI / CD集成對於使DevSecOps成功至關重要。

要閱讀完整報告,請訪問 https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html.

關於Synopsys軟件完整性小組
Synopsys軟件完整性小組可幫助組織構建安全的高質量軟件,在最大程度地提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開放源代碼組件和應用程序行為中的漏洞和缺陷。 結合行業領先的工具,服務和專業知識,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中最大限度地提高安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技
Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###