應(yīng)用安全調(diào)查:半數(shù)企業(yè)有意識(shí)發(fā)布有漏洞代碼
責(zé)編:gltian |2020-08-17 15:05:26根據(jù)Veracode最新發(fā)布的應(yīng)用安全報(bào)告,盡管普遍使用了應(yīng)用安全工具,但近一半的組織仍定期有意識(shí)地發(fā)布易受攻擊的代碼。
推送易受攻擊的代碼的主要原因包括:迫于發(fā)布期限(54%)和在軟件開發(fā)生命周期中發(fā)現(xiàn)漏洞太晚(45%)。
受訪者表示,開發(fā)人員缺乏緩解問題的知識(shí)以及應(yīng)用安全工具之間缺乏集成是他們實(shí)施DevSecOps面臨的兩個(gè)主要挑戰(zhàn)。但是,十家公司中有近九家表示他們今年將對(duì)應(yīng)用安全進(jìn)行進(jìn)一步投資。
軟件開發(fā)格局正在演變
報(bào)告揭示了應(yīng)用安全的實(shí)踐和工具如何與新興的開發(fā)方法相交,并增加了新的優(yōu)先事項(xiàng),例如降低開源風(fēng)險(xiǎn)和API測試。
“當(dāng)今的軟件開發(fā)正飛速發(fā)展。微服務(wù)驅(qū)動(dòng)的架構(gòu),容器和云原生應(yīng)用程序正在改變開發(fā)人員構(gòu)建,測試和部署代碼的方式。如果沒有更好的測試,集成和日常開發(fā)人員培訓(xùn),組織將面臨重大的漏洞威脅,”Veracode的CTO Chris Wysopal說道。
報(bào)告主要發(fā)現(xiàn):
· 60%的企業(yè)和組織報(bào)告說,過去12個(gè)月中,其生產(chǎn)應(yīng)用程序遭遇了OWASP十大漏洞利用。同樣,70%的應(yīng)用程序在初始掃描時(shí)在開源庫中存在安全漏洞。
· 開發(fā)人員缺乏有關(guān)如何緩解問題的知識(shí)是AppSec面臨的最大挑戰(zhàn)。53%的組織每年僅為開發(fā)人員提供一次或更少的安全培訓(xùn)。數(shù)據(jù)顯示,掃描頻率最高的前1%應(yīng)用程序的安全漏洞數(shù)量是掃描頻率最低的應(yīng)用程序的五分之一,這意味著頻繁掃描有助于開發(fā)人員發(fā)現(xiàn)并修復(fù)缺陷,從而大大降低組織的風(fēng)險(xiǎn)。
· 43%的人認(rèn)為DevOps集成是改進(jìn)應(yīng)用安全計(jì)劃的最重要方面。
· 84%的用戶報(bào)告由于過多的應(yīng)用安全工具而面臨挑戰(zhàn),導(dǎo)致DevOps集成變得困難。43%的公司報(bào)告說他們正在使用11-20個(gè)應(yīng)用安全工具,而22%的公司說他們正在使用21-50個(gè)應(yīng)用安全工具。
根據(jù)ESG的相關(guān)報(bào)告,最高效的應(yīng)用安全流程一般具備以下幾個(gè)關(guān)鍵組成部分和特征:
· 應(yīng)用程序安全性已高度集成到CI/CD工具鏈中
· 持續(xù)的針對(duì)開發(fā)人員的定制化的應(yīng)用安全培訓(xùn)
· 跟蹤各個(gè)開發(fā)團(tuán)隊(duì)中的持續(xù)改進(jìn)指標(biāo)
· 開發(fā)經(jīng)理正在共享應(yīng)用最佳實(shí)踐
· 分析跟蹤應(yīng)用安全程序的進(jìn)度并向管理者提供數(shù)據(jù)報(bào)告
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧