Wabbi与IDG的一项新研究发现，实践持续安全的公司将漏洞减少了50%。

该研究侧重于开发与安全的集成以及持续实践安全的好处。参与人员包括IT和安全部门的负责人、软件/应用程序开发经理和主管。数据探讨了整个软件开发生命周期 (SDLC) 中集成安全性的优先事项和趋势。主要发现有：

IT/安全负责人认识到集成安全的价值

随着攻击的种类和数量每天都在增加，建立针对所有潜在风险的防御成为难题。更重要的是，成功的衡量标准可以根据企业的优先级而有所不同。然而，SDLC中安全性集成的重要性是显而易见的：98%的受访者高度重视在整个开发生命周期中集成安全性，但只有15%的受访者表示从开发生命周期开始就始终集成安全。

SDLC中缺乏安全性集成导致项目延迟(72%)、财务损失(63%)和/或品牌声誉受损(57%)。然而，组织明白集成安全的好处不仅仅是减少入侵：70%的受访者实际上认为提高生产率是安全集成的最大好处，其次是节省成本和减少安全漏洞，67%的受访者如此表示。

Wabbi的首席执行官Brittany Greenfield说表示“为了克服开发和安全之间的间隙，必须在整个开发生命周期中集成安全性。”“报告结果表明，团队已经在文化意识上理解了集成安全的重要性，但仍需要进行结构性工作来实施持续的安全方法，以交付更安全的代码，减少漏洞缺陷、避免延迟上线、降低经济损失、避免业务中断。”

采用自动化的组织可以避免瓶颈

对于此次调查的受访者来说，当前的应用程序安全流程产生了瓶颈：53%的受访者表示“在一定程度上”发生了瓶颈，而47%的受访者表示“在很大程度上”存在瓶颈。造成瓶颈的首要原因是DevOps 和安全团队之间的协作不足(72%)，其次是由于复杂的文档而难以确定正确的项目和特性级安全需求(71%)，以及SDLC/ CI/CD中缺乏安全流程编排(68%)。

实施持续安全以增强开发团队的能力

尽管只有31%的受访者在开发团队中增加了对应用安全性的检测，但外界并不知道的是，在过去一年中，他们发布具有安全漏洞的应用程序从73%变为50%，并且在SDLC的规划阶段提出安全需求和反馈的几率从16%变为48%。可以看出，在实施持续安全性检测后，不但提高了发布的应用软件安全性，而且增加了团队在安全方面的能力。

受访者将授权开发团队实施安全 (73%)、支持实时协作 (72%) 和降低安全风险 (70%) 列为持续安全策略的最大潜在好处。

22%的人表示正在试行一项持续的安全策略，其中46%的人计划在明年采用这一策略。那些完全采用持续安全的公司能够利用集成、自动化和反馈循环来治理安全漏洞。对于那些还没有完全实现的人来说，实施持续安全不一定是一个复杂的过程，只要有一个适当的流程，组织就可以实施持续的安全性来增强开发团队的能力、实现实时协作并降低安全风险。

文章来源：

https://www.helpnetsecurity.com/2022/03/30/implement-continuous-security/

[课程]FART 脱壳王！加量不加价！FART作者讲授！