Darkreading最新的报告显示,企业对代码安全性的担忧已经导致六成企业放弃了原有的应用程序。
报告指出,市场对应用程序安全性缺陷和复杂性的忍耐已经到了极限。受调查的61%的受访者表示,对应用程序的安全性担忧已导致他们迁移到其他应用程序。27%的人将一种商用软件申请换成另一种。其他人则迁移到了COTS解决方案,还有一些人选择开放源代码(6%)或内部开发的工具(16%)。值得注意的是,有12%的人完全放弃了他们的商业软件,转而选择了开源或内部开发的应用程序。
【牛调研】您所在企业是否曾因应用安全顾虑更换软件,属于下列那种情况?
1. 是的,曾因应用安全顾虑更换了商业软件供应商
2. 是的,从内部开发的软件更换到了商业软件
3. 是的,从开源软件更换到了商业软件
4. 是的,从商业软件更换到了开源软件或内部开发软件
5. 没有,漏洞和安全问题并未导致我们更换软件
为什么要“换刀”?
常见的原因包括:内部开发团队可能没有经过安全编码方面的培训,并且容易与安全部门发生业务冲突。当被问到应用安全的最大风险时,第一答案是“未经安全培训的开发人员”,占受访者的有38%的受访者表示。尽管大多数受访者对这两个团队之间的关系给予了积极评价,但这种担忧仍然存在。
而且,商业软件供应商的安全性差异很大。有的企业可能拥有庞大的专门安全团队,并且有漏洞赏金计划、可靠的发行补丁和更新程序来支持,但
另一些企业却可能一无所有,并且多年来一直未修复错误。同样,开源社区在安全性方面提供的支持也各不相同。
此外,还有一些难以预料的政策因素,使企业对应用程序的选择进一步复杂化。
例如,今年2019年美国出于国家安全考虑,禁止使用中国科技巨头华为的技术以及其他中国公司的监控技术。2017年,政府出于类似原因下令从所有联邦系统中删除卡巴斯基实验室网络安全工具。
值得注意的是,开源并不意味着安全。近年来利用开放源代码库中漏洞的攻击有所增加,但这个问题绝不仅限于开源软件,事实上大多数内部开发团队和商业软件供应商也经常使用开源组件。幸运的是,尽管有21%的受访者承认“得不偿失”,但大多数受访者都有适当的流程来修复开源软件组件中的漏洞。
报告下载地址:
https://www.informationweek.com/whitepaper/cybersecurity/security-monitoring/how-enterprises-are-developing-and-maintaining-secure-applications/413993