新思科技发布《现代应用程序开发安全》报告 探讨安全趋势和现代应用程序开发的挑战

美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布了 《 现代应用程序开发安全 》报告 。根据行业分析公司 Enterprise Strategy Group (ESG)对网络安全和应用程序开发专业人员进行的一项调查，该 报告着重说明了安全团队对现代开发和部署实践的了解程度以及需要采取哪些安全控制措施以降低风险。该研究发现，将近一半（ 48%）的调查受访者因时间压力 ，仍会提交易受攻击的代码。研究还表明， 43%的受访者表示 DevOps集成对于改善应用安全计划至关重要。

点击免费下载 《 现代应用程序开发安全 》 报告 。

ESG资深分析师 Dave Gruber 表示： “DevSecOps已在现代开发领域中将安全放在了前 端和 核心的位置；然而，安全和开发团队 业务指标 不同， 很难达成统一 的目标。大多数安全团队缺乏对现代应用程序开发实践的了解，也进一步 加剧了 这一挑战。向微服务 架构的 转型，以及 对容器和无服务器 模式的使用已经改变了开发人员构建、测试和部署代码的方式。 ”

新思科技委托 权威IT分析和研究机构 ESG ，记录有关开发团队和网络安全团队之间有关应用程序安全解决方案部署和管理的 现状和见解。 ESG对 378 名 负责 IT、网络安全和应用程序开发的专业人员进行了采访和调研。受访者对安全的应用程序开发技术有 深入了解并负责这方面的工作， 或者采用安全开发工具和流程 进行应用程序开发。受访者在美国和加拿大的多个行业工作，包括制造业、金融 业、建筑 与工程 行业和商业服务 业等。

新思科技软件质量与安全部门产品市场总监 Patrick Carey表示： “ 这项研究的关键见解凸显了 企业需要在整个开发生命周期中全面处理应用程序安全。在 仍提交易受攻击的代码的 企业中， 45%是因为 在开发周期中过晚发现漏洞，以至于这些漏洞无法及时解决。这再次说明在开发流程中将安全左移的重要性，开发团队 需要能够持续接受培训，并 在当前的流程提供补充的工具解决方案，以便他们能够在不影响速度的前提下安全地进行编码。 ”

研究的主要发现包括：

·大多数 组织认为他们的应用程序安全计划 都是可靠的，尽管许多 组织仍然 会提交易受攻击的代码。 69%的受访者将他们现有计划的有效性评为 8 分或更高分，评级从 0 分到 10 分（其中 10 分表示最有效）。但是，由于近一半的 企业仍然定期 提交易受攻击的代码，因此大多数 组织在过去 12个月 遭受到OWASP Top10漏洞 入侵其生产应用程序。

·DevOps集成是改进的关键要素。 超过四分之一的受访者表示他们现在的应用程序安全工具增加了摩擦并减缓了开发周期，而 23%的受访者则认为与开发 / DevOps 工具的不良集成成为最常见的挑战。此外， 26% 的受访者指出，不同的应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是常见的应用程序安全挑战。

·开发人员在应用程序安全中扮演重要角色，但是他们缺乏技巧和培训。 近三分之一（ 29%）的受访者表示， 企业内的开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且仅仅 17%的受访者表示他们的开发人员利用其安全工具 中提供的即时培训，只有 29%的受访者被要求每季度至少参加一次培训。

·企业计划增加应用程序安全支出。 超过一半（ 51%）的受访者表示计划在未来 12 个月内大幅增加应用程序安全的支出。 44% 的受访者计划将应用程序安全投资 瞄准云端。

·AppSec工具的激增正在推动许多组织 投资于工具整合。 许多组织在努力整合和管理现有的工具，这 往往会降低安全计划的有效程度， 并需要安排过多资源来管理工具。 72%的受访者使用 的工具超过 10种，复杂性成为 了一个关键问题，因此超过三分之一的受访者将投资重点放在了整合上面。

想要了解更多内容，点击下载 《 现代应用程序开发安全性 》报告 。