久草最新在线,a级片免费观看,欧美乱妇无码高清在线观看

應用安全調查：半數企業有意識發布有漏洞代碼

責編：gltian ｜2020-08-17 15:05:26

根據Veracode最新發布的應用安全報告，盡管普遍使用了應用安全工具，但近一半的組織仍定期有意識地發布易受攻擊的代碼。

推送易受攻擊的代碼的主要原因包括：迫于發布期限（54％）和在軟件開發生命周期中發現漏洞太晚（45％）。

受訪者表示，開發人員缺乏緩解問題的知識以及應用安全工具之間缺乏集成是他們實施DevSecOps面臨的兩個主要挑戰。但是，十家公司中有近九家表示他們今年將對應用安全進行進一步投資。

軟件開發格局正在演變

報告揭示了應用安全的實踐和工具如何與新興的開發方法相交，并增加了新的優先事項，例如降低開源風險和API測試。

“當今的軟件開發正飛速發展。微服務驅動的架構，容器和云原生應用程序正在改變開發人員構建，測試和部署代碼的方式。如果沒有更好的測試，集成和日常開發人員培訓，組織將面臨重大的漏洞威脅，”Veracode的CTO Chris Wysopal說道。

報告主要發現：

· 60％的企業和組織報告說，過去12個月中，其生產應用程序遭遇了OWASP十大漏洞利用。同樣，70%的應用程序在初始掃描時在開源庫中存在安全漏洞。

· 開發人員缺乏有關如何緩解問題的知識是AppSec面臨的最大挑戰。53％的組織每年僅為開發人員提供一次或更少的安全培訓。數據顯示，掃描頻率最高的前1％應用程序的安全漏洞數量是掃描頻率最低的應用程序的五分之一，這意味著頻繁掃描有助于開發人員發現并修復缺陷，從而大大降低組織的風險。

· 43％的人認為DevOps集成是改進應用安全計劃的最重要方面。

· 84％的用戶報告由于過多的應用安全工具而面臨挑戰，導致DevOps集成變得困難。43％的公司報告說他們正在使用11-20個應用安全工具，而22％的公司說他們正在使用21-50個應用安全工具。

根據ESG的相關報告，最高效的應用安全流程一般具備以下幾個關鍵組成部分和特征：

· 應用程序安全性已高度集成到CI/CD工具鏈中

· 持續的針對開發人員的定制化的應用安全培訓

· 跟蹤各個開發團隊中的持續改進指標

· 開發經理正在共享應用最佳實踐

· 分析跟蹤應用安全程序的進度并向管理者提供數據報告