应用程序安全性状态 统计数据会告知我们什么
发布时间:2022-08-02 11:07:42 所属栏目:安全 来源:互联网
导读:在过去几年中,DevOps文化的出现从根本上改变了软件开发的方式,使企业可以更快地推送代码,并自动扩展支持新功能和创新所需的基础设施。而将DevSecOps投入到开发和运营渠道中的安全性日益增强,现在正在改变应用程序安全性的状态,但是一份最新发布的行业调
|
在过去几年中,DevOps文化的出现从根本上改变了软件开发的方式,使企业可以更快地推送代码,并自动扩展支持新功能和创新所需的基础设施。而将DevSecOps投入到开发和运营渠道中的安全性日益增强,现在正在改变应用程序安全性的状态,但是一份最新发布的行业调查报告表明,这种差距仍然存在。 这份报告强调了组织在开发过程中尽早地集成安全测试是很重要的原因,而且发布易受攻击的代码并不一定表示没有良好的安全程序,因为这可能有多种不同的原因,并且没有一种单一类型的安全测试能够捕获所有的错误。然而,调查还发现,许多组织仍在扩展其应用程序的安全性,只有33%的组织表示其程序覆盖了代码库的75%以上,33%的组织表示其程序覆盖了不到一半的代码。 调查发现,将易受攻击的代码投入生产的决策者可能因组织而异。28%的组织的决策是由开发经理和安全分析师共同做出的,24%的组织中的决策是由开发经理单独做出的,21%的组织的决策是由安全分析师做出的。 这实际上可能是应用程序安全性成熟的标志,因为DevSecOps是关于在开发管道中尽早进行安全测试,而在过去,安全测试只属于组织安全团队的范围,他们通常在产品完成后执行安全测试。 在组织中,开发团队由于集成到他们的流程中而进行了安全测试。因此与安全团队合作,由开发经理做出可接受漏洞的决策是正常的,而团队的安全负责人通常是一位具有应用程序安全知识和经验的开发人员。但是,这种决策仍应基于制定组织策略的首席信息安全官(CISO)做出,他最终负责管理组织整体的信息安全风险,并且可以确定哪些应用程序更容易受到攻击,或者确定黑客可能攻击的更敏感信息。这些应用程序在打补丁时可能有更严格的规则。 如果没有正确评估风险,则采用带有已知漏洞的代码可能会造成严重后果。60%的受访者承认,在过去12个月里,他们的应用程序受到了OWASP Top-10列出的漏洞进行攻击。OWASP Top-10包含了Web应用程序最关键的安全风险,其中包括SQL注入、破坏身份验证、泄露敏感数据、破坏访问控制、安全性错误配置、使用具有已知漏洞的第三方组件等问题。这些问题通常不应该允许存在于生产代码中。 根据ESG公司的这份调查报告,很多组织使用的各种应用程序安全测试工具包括:API安全漏洞(ASV)扫描(56%)、防止错误配置的基础设施代码安全工具(40%)、静态应用程序安全测试(SAST)工具(40%)、软件组成分析(SCA)测试工具(38%)、交互式应用程序安全测试(IAST)工具(38%)、动态应用程序安全测试(DAST)工具(36%)、可以帮助识别和解决安全问题用于集成开发环境的插件(29%),扫描容器和存储库以及微服务中使用的图像的工具(29%)、模糊测试工具(16%)、容器运行的配置安全工具(15%)。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号