新思科技發(fā)布最新 DevSecOps報告

超過 80% 的受訪者表示，2022年，已部署的軟件中的重大安全問題影響了他們的 DevOps 交付進度

采用DevSecOps方法論現已成為現代軟件開發(fā)的一部分。成功的DevSecOps策略使用完整的安全工具集來處理整個軟件開發(fā)生命周期中的代碼質量和安全問題，包括動態(tài)應用安全測試(DAST)、交互式應用安全測試(IAST)、靜態(tài)應用安全測試(SAST)和軟件組成分析(SCA)工具。但是，目前網絡安全人才短缺仍是DevSecOps面臨的一個重大挑戰(zhàn)。

近日，新思科技(Synopsys, Inc.，Nasdaq: SNPS)發(fā)布了《2023 年全球DevSecOps 現狀調查》報告。該報告審查了影響軟件安全的策略、工具和實踐，由 新思科技網絡安全研究中心匯總。新報告基于市場研究咨詢機構 Censuswide 對全球 1,000 多名 IT 專業(yè)人員的調研進行匯編，其中包括開發(fā)人員、AppSec專業(yè)人員、DevOps 工程師和 CISO，以及技術、網絡安全和軟件開發(fā)領域的專家。

超過 80% 的受訪者表示，已部署軟件中的重大安全問題影響了他們2022年的 DevOps 交付進度。實施 DevSecOps 是一個專注于在軟件開發(fā)生命周期 (SDLC) 的每個階段嵌入安全測試的框架，是減少生產應用中關鍵漏洞和可利用安全問題數量的既定方法。

新思科技軟件質量與安全部門總經理Jason Schmitt表示：“雖然絕大多數（91%）的企業(yè)已經在不同程度上采用了 DevSecOps 實踐，但在如何有效地部署方面仍然面臨障礙，特別是在企業(yè)規(guī)模級別領域。具體來說，我們注意到全球各地的企業(yè)都在努力整合其團隊使用的多種應用安全測試工具的結果并確定其優(yōu)先級。他們還爭取通過基礎設施即代碼自動執(zhí)行安全和合規(guī)策略，受訪者最常將這種方式視為其安全計劃整體成功的關鍵因素?！?/p>

該調研報告主要發(fā)現如下：

• 大多數安全專業(yè)人員已經在使用人工智能，同時，他們更是對其風險保持警惕。大多數 (52%) 的受訪者表示，他們正在積極使用人工智能來增強企業(yè)的軟件安全措施。然而，更多的人 (76%) “非?；蛴行摹被谌斯ぶ悄艿木W絡安全解決方案的潛在錯誤或風險。
• 大多數企業(yè)修復漏洞所需的時間可能長達數周。 28% 的受訪者表示，他們需要長達三周的時間來修補已部署應用中的關鍵安全風險/漏洞。另外， 20% 的人表示這可能需要長達一個月的時間，盡管大多數漏洞在幾天內就會被利用。
• 至少三分之二的受訪者認為應用安全測試工具有用。當提及衡量安全工具和實踐的有用性時，至少三分之二的受訪者認為它們有效。調研中列出的安全工具包括動態(tài)應用安全測試 (DAST)、交互式應用安全測試 (IAST)、靜態(tài)應用安全測試 (SAST) 以及軟件組成分析 (SCA)。受訪者將 SAST 視為最受推崇的應用安全測試(AST)工具，72% 的人表示他們認為它很有用。緊隨其后的是 IAST (69%)、SCA (68%) 和 DAST (67%)。
• 安全測試職責由內部安全和開發(fā)/工程團隊平等分擔。軟件開發(fā)人員和工程師 (45%) 與內部安全團隊成員 (46%) 一樣有可能承擔對關鍵業(yè)務應用和持續(xù)改進 (CI) 管道執(zhí)行安全測試的任務。三分之一 (33%) 的企業(yè)還聘請外部顧問來補充內部團隊的安全工作。