-
-
[分享]漏洞减少50%!在开发生命周期中持续实施安全检测的优势
-
发表于: 2022-3-31 10:05 4646
-
Wabbi与IDG的一项新研究发现,实践持续安全的公司将漏洞减少了50%。
该研究侧重于开发与安全的集成以及持续实践安全的好处。参与人员包括IT和安全部门的负责人、软件/应用程序开发经理和主管。数据探讨了整个软件开发生命周期 (SDLC) 中集成安全性的优先事项和趋势。主要发现有:
IT/安全负责人认识到集成安全的价值
随着攻击的种类和数量每天都在增加,建立针对所有潜在风险的防御成为难题。更重要的是,成功的衡量标准可以根据企业的优先级而有所不同。然而,SDLC中安全性集成的重要性是显而易见的:98%的受访者高度重视在整个开发生命周期中集成安全性,但只有15%的受访者表示从开发生命周期开始就始终集成安全。
SDLC中缺乏安全性集成导致项目延迟(72%)、财务损失(63%)和/或品牌声誉受损(57%)。然而,组织明白集成安全的好处不仅仅是减少入侵:70%的受访者实际上认为提高生产率是安全集成的最大好处,其次是节省成本和减少安全漏洞,67%的受访者如此表示。
Wabbi的首席执行官Brittany Greenfield说表示“为了克服开发和安全之间的间隙,必须在整个开发生命周期中集成安全性。”“报告结果表明,团队已经在文化意识上理解了集成安全的重要性,但仍需要进行结构性工作来实施持续的安全方法,以交付更安全的代码,减少漏洞缺陷、避免延迟上线、降低经济损失、避免业务中断。”
采用自动化的组织可以避免瓶颈
对于此次调查的受访者来说,当前的应用程序安全流程产生了瓶颈:53%的受访者表示“在一定程度上”发生了瓶颈,而47%的受访者表示“在很大程度上”存在瓶颈。造成瓶颈的首要原因是DevOps 和安全团队之间的协作不足(72%),其次是由于复杂的文档而难以确定正确的项目和特性级安全需求(71%),以及SDLC/ CI/CD中缺乏安全流程编排(68%)。
实施持续安全以增强开发团队的能力
尽管只有31%的受访者在开发团队中增加了对应用安全性的检测,但外界并不知道的是,在过去一年中,他们发布具有安全漏洞的应用程序从73%变为50%,并且在SDLC的规划阶段提出安全需求和反馈的几率从16%变为48%。可以看出,在实施持续安全性检测后,不但提高了发布的应用软件安全性,而且增加了团队在安全方面的能力。
受访者将授权开发团队实施安全 (73%)、支持实时协作 (72%) 和降低安全风险 (70%) 列为持续安全策略的最大潜在好处。
22%的人表示正在试行一项持续的安全策略,其中46%的人计划在明年采用这一策略。那些完全采用持续安全的公司能够利用集成、自动化和反馈循环来治理安全漏洞。对于那些还没有完全实现的人来说,实施持续安全不一定是一个复杂的过程,只要有一个适当的流程,组织就可以实施持续的安全性来增强开发团队的能力、实现实时协作并降低安全风险。
文章来源:
https://www.helpnetsecurity.com/2022/03/30/implement-continuous-security/
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课