新思科技發(fā)布《2023年全球DevSecOps現(xiàn)狀調查》

雖然大多數(shù)企業(yè)在很大程度上采用了某些DevSecOps實踐，但在有效實施方面仍然面臨挑戰(zhàn)，包括如何集成和調整多個應用安全測試(AST)工具的結果，使其與業(yè)務優(yōu)先級相一致，以及如何減少處理重大漏洞所需的時間。

近日，新思科技(Synopsys, Inc.，Nasdaq: SNPS)發(fā)布了《2023 年全球DevSecOps 現(xiàn)狀調查》報告。該報告審查了影響軟件安全的策略、工具和實踐，由 新思科技網絡安全研究中心匯總。新報告基于市場研究咨詢機構 Censuswide 對全球 1,000 多名 IT 專業(yè)人員的調研進行匯編，其中包括開發(fā)人員、AppSec專業(yè)人員、DevOps 工程師和 CISO，以及技術、網絡安全和軟件開發(fā)領域的專家。

超過 80% 的受訪者表示，已部署軟件中的重大安全問題影響了他們2022年的 DevOps 交付進度。實施 DevSecOps 是一個專注于在軟件開發(fā)生命周期 (SDLC) 的每個階段嵌入安全測試的框架，是減少生產應用中關鍵漏洞和可利用安全問題數(shù)量的既定方法。

新思科技軟件質量與安全部門總經理Jason Schmitt表示：“雖然絕大多數(shù)（91%）的企業(yè)已經在不同程度上采用了 DevSecOps 實踐，但在如何有效地部署方面仍然面臨障礙，特別是在企業(yè)規(guī)模級別領域。具體來說，我們注意到全球各地的企業(yè)都在努力整合其團隊使用的多種應用安全測試工具的結果并確定其優(yōu)先級。他們還爭取通過基礎設施即代碼自動執(zhí)行安全和合規(guī)策略，受訪者最常將這種方式視為其安全計劃整體成功的關鍵因素。”

該調研報告主要發(fā)現(xiàn)如下：

大多數(shù)安全專業(yè)人員已經在使用人工智能，同時，他們更是對其風險保持警惕。大多數(shù) (52%) 的受訪者表示，他們正在積極使用人工智能來增強企業(yè)的軟件安全措施。然而，更多的人 (76%) “非�；蛴行�擔心”基于人工智能的網絡安全解決方案的潛在錯誤或風險。

大多數(shù)企業(yè)修復漏洞所需的時間可能長達數(shù)周。28% 的受訪者表示，他們需要長達三周的時間來修補已部署應用中的關鍵安全風險/漏洞。另外， 20% 的人表示這可能需要長達一個月的時間，盡管大多數(shù)漏洞在幾天內就會被利用。

至少三分之二的受訪者認為應用安全測試工具有用。當提及衡量安全工具和實踐的有用性時，至少三分之二的受訪者認為它們有效。調研中列出的安全工具包括動態(tài)應用安全測試 (DAST)、交互式應用安全測試 (IAST)、靜態(tài)應用安全測試 (SAST) 以及軟件組成分析 (SCA)。受訪者將 SAST 視為最受推崇的應用安全測試(AST)工具，72% 的人表示他們認為它很有用。緊隨其后的是 IAST (69%)、SCA (68%) 和 DAST (67%)。

安全測試職責由內部安全和開發(fā)/工程團隊平等分擔。軟件開發(fā)人員和工程師 (45%) 與內部安全團隊成員 (46%) 一樣有可能承擔對關鍵業(yè)務應用和持續(xù)改進 (CI) 管道執(zhí)行安全測試的任務。三分之一 (33%) 的企業(yè)還聘請外部顧問來補充內部團隊的安全工作。

點擊下載《2023 年全球DevSecOps 現(xiàn)狀調查》報告。