点击蓝字关注我们

应用安全调查:半数企业有意识发布有漏洞代码

根据 Veracode 最新发布的应用安全报告,尽管普遍使用了应用安全工具,但近一半的组织仍定期有意识地发布易受攻击的代码。

推送易受攻击的代码的主要原因包括:迫于发布期限(54%)和在软件开发生命周期中发现漏洞太晚(45%)。

受访者表示,开发人员缺乏缓解问题的知识以及应用安全工具之间缺乏集成是他们实施 DevSecOps 面临的两个主要挑战。但是,十家公司中有近九家表示他们今年将对应用安全进行进一步投资。

软件开发格局正在演变

报告揭示了应用安全的实践和工具如何与新兴的开发方法相交,并增加了新的优先事项,例如降低开源风险和 API 测试。

“当今的软件开发正飞速发展。微服务驱动的架构,容器和云原生应用程序正在改变开发人员构建,测试和部署代码的方式。如果没有更好的测试,集成和日常开发人员培训,组织将面临重大的漏洞威胁,”Veracode 的 CTO Chris Wysopal 说道。

报告主要发现:

·60%的企业和组织报告说,过去 12 个月中,其生产应用程序遭遇了 OWASP 十大漏洞利用。同样,70% 的应用程序在初始扫描时在开源库中存在安全漏洞。

·开发人员缺乏有关如何缓解问题的知识是 AppSec 面临的最大挑战。53%的组织每年仅为开发人员提供一次或更少的安全培训。数据显示,扫描频率最高的前 1%应用程序的安全漏洞数量是扫描频率最低的应用程序的五分之一,这意味着频繁扫描有助于开发人员发现并修复缺陷,从而大大降低组织的风险。

·43%的人认为 DevOps 集成是改进应用安全计划的最重要方面。

·84%的用户报告由于过多的应用安全工具而面临挑战,导致 DevOps 集成变得困难。43%的公司报告说他们正在使用 11-20 个应用安全工具,而 22%的公司说他们正在使用 21-50 个应用安全工具。

根据 ESG 的相关报告,最高效的应用安全流程一般具备以下几个关键组成部分和特征:

·应用程序安全性已高度集成到 CI/CD 工具链中

·持续的针对开发人员的定制化的应用安全培训

·跟踪各个开发团队中的持续改进指标

·开发经理正在共享应用最佳实践

·分析跟踪应用安全程序的进度并向管理者提供数据报告

相关阅读

2019 年开放源代码漏洞激增 50%

从三类常见高危漏洞 洞见那些“风平浪静”的代码

Zoncolan:Facebook 如何从 1 亿行代码中捕捉漏洞

应用安全调查:半数企业有意识发布有漏洞代码

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com

应用安全调查:半数企业有意识发布有漏洞代码

来源链接:mp.weixin.qq.com