發佈於

編輯簡介:Synopsys是全球領先的網絡安全供應商之一,已出版了一本有關“現代應用程序開發安全性”的電子書。 在電子書中,供應商詳細介紹了ESG對網絡安全和appdev專業人員進行的調查,結果顯示,由於時間的限制,將近一半(48%)的受訪者有意識地將易受攻擊的代碼部署到了市場。 供應商的新聞發佈如下。

DevSecOps研究發現,由於時間壓力,將近一半的組織自覺部署易受攻擊的應用程序

分析公司ESG進行的研究探討了安全趨勢和現代應用程序開發中出現的挑戰

新加坡,@mcgallen#microwire信息,12年2020月XNUMX日: 新思科技有限公司 (納斯達克股票代碼: SNPS)今天發布了 “現代應用程序開發安全性”電子書。 根據Enterprise Strategy Group(ESG)對網絡安全和應用程序開發專業人員進行的調查,該電子書著重說明了安全團隊對現代開發和部署實踐的了解程度以及需要採取哪些安全控制措施以降低風險的程度。 該研究發現,由於時間壓力,將近一半(48%)的調查受訪者有意識地將易受攻擊的代碼推向了生產。 這項研究還發現,對高速應用程序開發進行補充的集成對於43%的應用程序安全計劃至關重要,據XNUMX%的受訪者表示。

“ DevSecOps已將安全性放在現代發展領域的前沿和中心; 但是,安全和開發團隊卻受不同指標的驅動,這使目標調整面臨挑戰。”高級ESG分析師Dave Gruber說。 大多數安全團隊缺乏對現代應用程序開發實踐的了解,這進一步加劇了這一點。 轉向微服務驅動的體系結構以及容器和無服務器體系結構的使用已經改變了開發人員構建,測試和部署代碼的方式。

Synopsys委託領先的IT分析人員和研究組織ESG記錄有關開發團隊和網絡安全團隊之間在應用程序安全解決方案的部署和管理方面的動態的見解。 ESG對378名合格的網絡安全專業人員進行了調查,他們對安全應用程序開發技術有深刻的見解,並負有責任,他們還參與了確保開發工具和流程安全的應用程序開發專業人員。 受訪者在美國,加拿大等多個行業的組織中工作,包括製造,金融服務,建築/工程和商業服務等。

Synopsys軟件完整性集團產品營銷總監Patrick Carey表示:“這項研究確定的關鍵見解強調了組織需要在整個開發生命週期中全盤解決應用程序安全性這一事實。” “在有意識地將易受攻擊的代碼投入生產的組織中,有45%這樣做是因為發現的漏洞在周期中發現得太晚了,無法及時解決。 這重申了轉移開發過程中剩下的安全性的重要性,這使開發團隊能夠接受不斷的培訓以及能夠補充其當前過程的工具解決方案,以便他們可以安全地進行編碼而不會對其速度產生負面影響。”

該研究的主要見解包括:

  • 大多數組織認為他們的應用程序安全計劃是有效的,儘管許多組織仍將易受攻擊的應用程序推入生產環境。 8%的調查受訪者將其當前計劃的效果評為0或10(10分或更高)(其中10分最為有效)。 但是,由於近一半的組織有意識地定期推送易受攻擊的代碼,因此大多數組織在過去12個月中都經歷了涉及OWASP十大漏洞的生產應用程序攻擊。
  • DevOps集成是改進的關鍵要素。 超過四分之一的受訪者表示,他們當前的應用程序安全工具增加了摩擦並減慢了開發週期,而23%的受訪者則認為與開發/ DevOps工具的不良集成是常見的挑戰。 此外,有26%的受訪者指出,不同的應用程序安全供應商工具之間是否存在集成困難或缺乏集成是常見的應用程序安全挑戰。
  • 開發人員在應用程序安全性中扮演著重要角色,但是他們缺乏技能和培訓。 近三分之一(29%)的受訪者表示,組織內的開發人員缺乏緩解當前應用程序安全工具所發現問題的知識。 此外,只有17%的人說他們的開發人員利用其安全工具中提供的即時培訓,而只有29%的人要求每季度至少參加一次培訓。
  • 組織正計劃增加應用程序安全性支出。 超過一半(51%)的受訪者表示計劃在未來12個月內大幅增加應用程序安全性支出。 XNUMX%的公司計劃將應用程序安全性投資瞄準雲。
  • AppSec工具的普及正在推動許多組織對整合進行投資。許多組織都在努力整合和管理現有的工具,這常常導致其安全計劃的有效性下降,同時也將過多的資源用於管理它們。 70%的人使用十多種工具,因此復雜性成為關鍵問題,因此,超過三分之一的人將投資重點放在了整合上。

要了解更多信息,請下載 “現代應用程序開發安全性”電子書,註冊我們的九月 網絡研討會,或閱讀我們的新 博客文章 突出顯示調查結果。

關於Synopsys軟件完整性小組

Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技

Synopsys,Inc.(納斯達克: SNPS)是Silicon to Software™的合作夥伴,是創新公司開發我們每天依賴的電子產品和軟件應用程序的合作夥伴。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###