新思科技《现代应用程序开发安全》报告 剖析安全趋势和现代应用程序开发中的挑战
作者:星期日, 九月 27, 20200

DevSecOps是一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。

DevSecOps 已在现代开发应用程序时优先考虑安全性并围绕确保安全展开软件开发活动,然而,驱动并衡量安全团队或开发团队的指标是不一致的,因此实现此目标仍然备受挑战。如何将理念落实到行动,进而更好的落实DevSecOps也成为目前较为关注的问题。

《Gartner 2017研究报告:DevSecOps应当做好的十件事》和《Gartner 2019研究报告:DevSecOps应当做好的十二件事》两篇研究报告中都对成功实施DevSecOps进行了研究。两篇报告一致认为实施DevSecOps的关键挑战和第一要素是:“安全测试工具和安全控制过程能够很好的适应开发人员,而不是背道而驰”。安全团队想要将安全测试或安全控制成功的融入在DevOps中的前提是:不要试图改变程序员和测试人员的工作方法,也不要去增加他们额外的工作负担。

在新思科技公司《现代应用程序开发安全》报告发布会上,新思科技软件质量与安全部门高级安全架构师杨国梁表示,落实DevSecOps需要在人、流程、技术等方面。尤其对人的层面,培训是非常重要的一个环节。针对不同的人、角色、利益出发点,做针对性的培训对个人能力、竞争力的提升十分有效。另外需要设置一些度量的指标,例如的团队在开发过程中,需要考量频繁曝出的安全问题,下一个版本里的这些安全问题是否得到了收敛,如果趋势是越来越好、越来越安全,可以进行一定程度的奖励。

在《现代应用程序开发安全》报告里,根据行业分析公司Enterprise Strategy Group (ESG)对网络安全和应用程序开发专业人员进行的一项调查,该报告着重说明了安全团队对现代开发和部署实践的了解程度以及需要采取哪些安全控制措施以降低风险。该研究发现,将近一半(48%)的调查受访者因时间压力,仍会提交易受攻击的代码。研究还表明,43%的受访者表示DevOps集成对于改善应用安全计划至关重要。

ESG资深分析师Dave Gruber表示:“DevSecOps已在现代开发领域中将安全放在了前端和核心的位置;然而,安全和开发团队业务指标不同,很难达成统一的目标。大多数安全团队缺乏对现代应用程序开发实践的了解,也进一步加剧了这一挑战。向微服务架构的转型,以及对容器和无服务器模式的使用已经改变了开发人员构建、测试和部署代码的方式。”

新思科技委托权威IT分析和研究机构ESG,记录有关开发团队和网络安全团队之间有关应用程序安全解决方案部署和管理的现状和见解。ESG对378名负责IT、网络安全和应用程序开发的专业人员进行了采访和调研。受访者对安全的应用程序开发技术有深入了解并负责这方面的工作,或者采用安全开发工具和流程进行应用程序开发。受访者在美国和加拿大的多个行业工作,包括制造业、金融业、建筑与工程行业和商业服务业等。

新思科技软件质量与安全部门产品市场总监Patrick Carey表示:“这项研究的关键见解凸显了企业需要在整个开发生命周期中全面处理应用程序安全。在仍提交易受攻击的代码的企业中,45%是因为在开发周期中过晚发现漏洞,以至于这些漏洞无法及时解决。这再次说明在开发流程中将安全左移的重要性,开发团队需要能够持续接受培训,并在当前的流程提供补充的工具解决方案,以便他们能够在不影响速度的前提下安全地进行编码。”

研究的主要发现包括:

  • 大多数组织认为他们的应用程序安全计划都是可靠的,尽管许多组织仍然会提交易受攻击的代码。69%的受访者将他们现有计划的有效性评为8分或更高分,评级从0分到10分(其中10分表示最有效)。但是,由于近一半的企业仍然定期提交易受攻击的代码,因此大多数组织在过去12个月遭受到OWASP Top 10漏洞入侵其生产应用程序。
  • DevOps集成是改进的关键要素。超过四分之一的受访者表示他们现在的应用程序安全工具增加了摩擦并减缓了开发周期,而23%的受访者则认为与开发/ DevOps工具的不良集成成为最常见的挑战。此外,26%的受访者指出,不同的应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是常见的应用程序安全挑战。
  • 开发人员在应用程序安全中扮演重要角色,但是他们缺乏技巧和培训。近三分之一(29%)的受访者表示,企业内的开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且仅仅17%的受访者表示他们的开发人员利用其安全工具中提供的即时培训,只有29%的受访者被要求每季度至少参加一次培训。
  • 企业计划增加应用程序安全支出。超过一半(51%)的受访者表示计划在未来12个月内大幅增加应用程序安全的支出。44%的受访者计划将应用程序安全投资瞄准云端。
  • AppSec工具的激增正在推动许多组织投资于工具整合。许多组织在努力整合和管理现有的工具,这往往会降低安全计划的有效程度,并需要安排过多资源来管理工具。72%的受访者使用的工具超过10种,复杂性成为了一个关键问题,因此超过三分之一的受访者将投资重点放在了整合上面。

《现代应用程序开发安全性》报告下载地址:

 https://www.aqniu.com/wp-content/uploads/2020/09/《现代应用程序开发安全》.pdf

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章