9月24日消息(岳明)如今,我们每个人的日常生活和工作都离不开各种各样应用程序。这些应用程序承载了海量的个人隐私信息和工作重要内容,因此其安全性变得愈发重要。在美国新思科技近日发布的《现代应用程序开发安全》报告中,我们了解到了安全团队对应用程序开发和部署的具体实践,以及需要采取哪些安全措施才能够降低其中的风险。
“研究表明,43%的受访者表示DevOps集成对于改善应用安全计划至关重要。”新思科技软件质量与安全部门高级安全架构师杨国梁在介绍这份报告时表示,“尽管大多数组织认为他们的应用程序安全计划是可靠的,但并没有一个具体的指标来证明他们确实做的还不错。”
值得注意的是,AppSec已上升为企业安全投资类别中的优先项,超过一半的受访者表示计划在未来12个月内大幅增加应用程序安全的支出。这与新思科技几年前就开始推行的概念呈现出吻合。同时,安全“向左移”的理念也开始越来越被行业所理解和接受。总而言之,这项研究的关键洞察凸显了企业需要在整个开发生命周期中全面处理应用程序安全。
报告主要发现
·大多数组织认为他们的应用程序安全计划都是可靠的,尽管许多组织仍然会提交易受攻击的代码。69%的受访者将他们现有计划的有效性评为8分或更高分,评级从0分到10分(其中10分表示最有效)。但是,由于近一半的企业仍然定期提交易受攻击的代码,因此大多数组织在过去12个月遭受到OWASP Top 10漏洞入侵其生产应用程序。
·DevOps集成是改进的关键要素。超过四分之一的受访者表示他们现在的应用程序安全工具增加了摩擦并减缓了开发周期,而23%的受访者则认为与开发/ DevOps工具的不良集成成为最常见的挑战。此外,26%的受访者指出,不同的应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是常见的应用程序安全挑战。
·开发人员在应用程序安全中扮演重要角色,但是他们缺乏技巧和培训。近三分之一(29%)的受访者表示,企业内的开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且仅仅17%的受访者表示他们的开发人员利用其安全工具中提供的即时培训,只有29%的受访者被要求每季度至少参加一次培训。
·企业计划增加应用程序安全支出。超过一半(51%)的受访者表示计划在未来12个月内大幅增加应用程序安全的支出。44%的受访者计划将应用程序安全投资瞄准云端。
·AppSec工具的激增正在推动许多组织投资于工具整合。许多组织在努力整合和管理现有的工具,这往往会降低安全计划的有效程度,并需要安排过多资源来管理工具。72%的受访者使用的工具超过10种,复杂性成为了一个关键问题,因此超过三分之一的受访者将投资重点放在了整合上面。
DevSecOps落地面临挑战
将安全结合DevOps之后,就被称为DevSecOps。当把安全集成进去后,整个DevOps运转的流畅是应用安全计划成功与否关键点。绝大多数受访者都希望进一步提升安全工具的集成的水平。
在被问及DevSecOps如何进行落地时,杨国梁举例谈到,在落地的过程中工具一般会发生一些问题,假设10个问题中有5个问题都是噪声,那么要把这些结果推送给开发人员的话,就必须确保推送内容是非常有价值的,噪声是很低的,不然就拖慢了开发人员的开发进度。
其次,加了一个新的工具进来,如果研发人员配合度高,愿意学习怎么用就好很多,但是研发压力非常大,如果人员配合度比较低,应该怎么把它通过技术化的手段,让研发人员感觉不到集成了一个工具,让他们只看到一些噪声非常低、非常有价值的结果,并且在短时间内能拿到这些结果,这是在技术层面能够更好地实现DevSecOps落地的实践经验。
“落地的过程中,研发人员可能不愿意加(安全性方面)这种东西,认为造成了额外的工作量。我们需要想办法让研发人员不抵触。从技术上来说,你要给他一些有信服力的答案,从流程上来说,可以找一个配合度高的团队,先把这些流程工具逐步的搭建起来,让大家看到效果之后,认可了它的价值,再一步一步去推广。”他表示。
对此,杨国梁提出,可以针对不同的人、角色、利益出发点,做针对性的培训。企业可以开展一些自己的流程、策略上的安全培训,同时包括新思科技这样的第三方安全厂商可以针对编码方法、渗透测试等更专业的安全问题进行培训。
再谈安全“向左移”概念
谈及现在业界广为接受的安全“向左移”概念,杨国梁在接受C114采访时表示,“这个概念其实我们很多年前就已经提出来了,也很欣慰看到现在终于大家都开始接受,并且在探讨如何开始左移。我们最早提出来左移的概念,根本的逻辑是一个投入产出比的比较,在靠后的阶段发现一个安全漏洞和靠前的阶段发现,花费的成本和代价是天壤之别,所以向左移的核心思想,就是尽早的发现安全问题。”
他谈到,现在讨论的是如何在技术层面实现向左移,之前我们缺乏好的技术手段,不能在更早的阶段发现一些安全问题,但我们现在不断在完善相关的手段,比如白盒检测和软件组成分析等,都对安全左移实现了很大的突破。
同时,他告诉我们,根据新思科技与一些头部厂商的尝试合作,将新思科技的不同工具融入进他们的办公流程中,其中一些最佳实践逐步变成了业界的主流方法。目前国内企业对DevSecOps非常注重,并且进展良好。
当被问及DevSecOps是否更适合某些特定的行业时,他强调,技术本身并不挑行业,只是一些行业的业务性质决定了它更适合DevSecOps。“像互联网行业,集成持续部署的速度可能是一小时、一分钟甚至十几秒,行业性质天然就决定了DevSecOps对它更适合,因为其业务的模式就是率先抢占市场。但如果是工业控制类的软件,速度可能并不是最重要的,重要的是稳定性。当然,如果技术条件允许的话,也可以考虑DevSecOps。”他分析道。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 恩智浦:底层处理与技术专长相组合,打造完整系统级解决方案
- 爱立信发布2024年第三季度财报:收入超市场预期
- 杭州中移边缘算力主机代工生产服务(对外交付)集采:总预算9000万元
- 报告称2024年中国液冷服务器出货突破23万台
- 亨通光电:已布局前沿光纤
- 紫光国微:选举陈杰为董事长,马道杰转任副董事长
- 中国铁塔金毅:围绕“一体两翼”战略,深化“两先四绿”发展方向
- 时间定了!纯血鸿蒙发布会将于10月22日举办
- 中国移动产品体系解析:AI产品化与产品化AI“相向而行”
- 千家早报|腾讯与中国信通院签署人工智能业务合作协议 ;工信部:大力发展人形机器人、脑机接口、6G等新领域新赛道——2024年10月15日
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。