“現(xiàn)代應(yīng)用程序開(kāi)發(fā)安全性”指的是“安全性”。

Synopsys最近發(fā)布的報(bào)告發(fā)現(xiàn)，盡管許多組織仍在提及交易代碼，但大多數(shù)組織認(rèn)為其應(yīng)用程序安全計(jì)劃是可靠的。

擁有良好的應(yīng)用程序安全計(jì)劃并不意味著組織將不再提及受到攻擊的事務(wù)的代碼。

不同之處在于，提交此類代碼的人員完全了解并清楚地了解他們所承擔(dān)的風(fēng)險(xiǎn)。

為了實(shí)現(xiàn)應(yīng)用程序安全性，有必要對(duì)潛在風(fēng)險(xiǎn)進(jìn)行連續(xù)分類，這涉及如何制定優(yōu)先級(jí)決策，以便開(kāi)發(fā)團(tuán)隊(duì)可以在指定日期之前交付應(yīng)用程序，同時(shí)降低風(fēng)險(xiǎn)。

如果在開(kāi)發(fā)周期中發(fā)現(xiàn)漏洞太晚，則通常不會(huì)解決這些漏洞。

這進(jìn)一步強(qiáng)調(diào)了盡早關(guān)注應(yīng)用程序安全性的重要性。

只有盡早發(fā)現(xiàn)漏洞，才能有足夠的時(shí)間及時(shí)解決關(guān)鍵問(wèn)題，而又不影響準(zhǔn)時(shí)交付。

根據(jù)行業(yè)分析公司Enterprise Strategy Group（ESG）對(duì)網(wǎng)絡(luò)安全和應(yīng)用程序開(kāi)發(fā)專業(yè)人員的調(diào)查，“現(xiàn)代應(yīng)用程序開(kāi)發(fā)安全性”被稱為“現(xiàn)代應(yīng)用程序開(kāi)發(fā)安全性”。

報(bào)告強(qiáng)調(diào)了安全團(tuán)隊(duì)對(duì)現(xiàn)代開(kāi)發(fā)和部署實(shí)踐的理解水平，以及需要采取哪些安全控制措施來(lái)降低風(fēng)險(xiǎn)。

該研究發(fā)現(xiàn)，近一半（48％）的受訪者仍然提到由于時(shí)間壓力而受到攻擊的代碼。

該研究還表明，有43％的受訪者表示DevOps集成對(duì)于改進(jìn)應(yīng)用程序安全計(jì)劃至關(guān)重要。

ESG高級(jí)分析師Dave Gruber表示：“ DevSecOps將安全放在現(xiàn)代開(kāi)發(fā)領(lǐng)域的前線和核心位置；但是，安全和開(kāi)發(fā)團(tuán)隊(duì)的業(yè)務(wù)指標(biāo)是不同的，并且很難實(shí)現(xiàn)統(tǒng)一的目標(biāo)。

大多數(shù)安全團(tuán)隊(duì)缺乏權(quán)利。

對(duì)現(xiàn)代應(yīng)用程序開(kāi)發(fā)實(shí)踐的理解進(jìn)一步加劇了這一挑戰(zhàn)。

向微服務(wù)架構(gòu)的轉(zhuǎn)變以及容器和無(wú)服務(wù)器模型的使用已經(jīng)改變了開(kāi)發(fā)人員構(gòu)建，測(cè)試和部署代碼的方式”。

Synopsys Entrust ESG是一家權(quán)威的IT分析和研究組織，用于記錄開(kāi)發(fā)團(tuán)隊(duì)和網(wǎng)絡(luò)安全團(tuán)隊(duì)之間應(yīng)用程序安全解決方案的部署和管理的現(xiàn)狀和見(jiàn)解。

ESG對(duì)378名負(fù)責(zé)IT，網(wǎng)絡(luò)安全和應(yīng)用程序開(kāi)發(fā)的專業(yè)人員進(jìn)行了采訪和調(diào)查。

受訪者對(duì)安全應(yīng)用程序開(kāi)發(fā)技術(shù)有深入的了解，并對(duì)此負(fù)責(zé)，或者使用安全開(kāi)發(fā)工具和過(guò)程進(jìn)行應(yīng)用程序開(kāi)發(fā)。

受訪者曾在美國(guó)和加拿大的多個(gè)行業(yè)工作，包括制造，金融，建筑和工程以及商業(yè)服務(wù)。

Synopsys的產(chǎn)品營(yíng)銷，軟件質(zhì)量和安全性產(chǎn)品總監(jiān)Patrick Carey表示：“這項(xiàng)研究的關(guān)鍵見(jiàn)解凸顯了公司需要在整個(gè)開(kāi)發(fā)生命周期中全面解決應(yīng)用程序安全性問(wèn)題。

在仍提到事務(wù)性攻擊代碼的公司中，有45％是因?yàn)槁┒丛陂_(kāi)發(fā)周期中發(fā)現(xiàn)得太晚，因此無(wú)法及時(shí)解決這些漏洞。

這再次說(shuō)明了在開(kāi)發(fā)過(guò)程中將安全性向左轉(zhuǎn)移的重要性。

開(kāi)發(fā)團(tuán)隊(duì)需要能夠繼續(xù)接受培訓(xùn)并在當(dāng)前流程中提供補(bǔ)充工具解決方案，以便他們可以安全地進(jìn)行編碼而不會(huì)影響速度”。

該研究的主要發(fā)現(xiàn)包括：大多數(shù)組織認(rèn)為他們的應(yīng)用程序安全計(jì)劃是可靠的，盡管許多組織仍然提到被攻擊的事務(wù)代碼。

69％的受訪者將其現(xiàn)有計(jì)劃的有效性評(píng)為8分或更高，評(píng)分范圍為0到10（其中10分是最有效的）。

但是，由于近一半的公司仍定期提及受到攻擊的代碼，因此在過(guò)去的12個(gè)月中，大多數(shù)組織都遇到了OWASP入侵其生產(chǎn)應(yīng)用程序的十大漏洞。

·DevOps集成是改進(jìn)的關(guān)鍵要素。

超過(guò)四分之一的受訪者表示，他們當(dāng)前的應(yīng)用程序安全工具增加了摩擦并減慢了開(kāi)發(fā)周期，而23％的受訪者認(rèn)為，與開(kāi)發(fā)/ DevOps工具的不良集成是最常見(jiàn)的挑戰(zhàn)。

此外，有26％的受訪者指出，不同應(yīng)用程序安全供應(yīng)商的工具之間是否存在集成困難或缺乏集成是常見(jiàn)的應(yīng)用程序安全挑戰(zhàn)。

·開(kāi)發(fā)人員在應(yīng)用程序安全性中起著重要作用，