根据Veracode最新发布的应用安全报告,尽管普遍使用了应用安全工具,但近一半的组织仍定期有意识地发布易受攻击的代码。
推送易受攻击的代码的主要原因包括:迫于发布期限(54%)和在软件开发生命周期中发现漏洞太晚(45%)。
受访者表示,开发人员缺乏缓解问题的知识以及应用安全工具之间缺乏集成是他们实施DevSecOps面临的两个主要挑战。但是,十家公司中有近九家表示他们今年将对应用安全进行进一步投资。
软件开发格局正在演变
报告揭示了应用安全的实践和工具如何与新兴的开发方法相交,并增加了新的优先事项,例如降低开源风险和API测试。
“当今的软件开发正飞速发展。微服务驱动的架构,容器和云原生应用程序正在改变开发人员构建,测试和部署代码的方式。如果没有更好的测试,集成和日常开发人员培训,组织将面临重大的漏洞威胁,”Veracode的CTO Chris Wysopal说道。
报告主要发现:
·60%的企业和组织报告说,过去12个月中,其生产应用程序遭遇了OWASP十大漏洞利用。同样,70%的应用程序在初始扫描时在开源库中存在安全漏洞。
·开发人员缺乏有关如何缓解问题的知识是AppSec面临的最大挑战。53%的组织每年仅为开发人员提供一次或更少的安全培训。数据显示,扫描频率最高的前1%应用程序的安全漏洞数量是扫描频率最低的应用程序的五分之一,这意味着频繁扫描有助于开发人员发现并修复缺陷,从而大大降低组织的风险。
·43%的人认为DevOps集成是改进应用安全计划的最重要方面。
·84%的用户报告由于过多的应用安全工具而面临挑战,导致DevOps集成变得困难。43%的公司报告说他们正在使用11-20个应用安全工具,而22%的公司说他们正在使用21-50个应用安全工具。
根据ESG的相关报告,最高效的应用安全流程一般具备以下几个关键组成部分和特征:
·应用程序安全性已高度集成到CI/CD工具链中
·持续的针对开发人员的定制化的应用安全培训
·跟踪各个开发团队中的持续改进指标
·开发经理正在共享应用最佳实践
·分析跟踪应用安全程序的进度并向管理者提供数据报告
(文章来源:安全牛)