亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

根據(jù)Veracode最新發(fā)布的應(yīng)用安全報告，盡管普遍使用了應(yīng)用安全工具，但近一半的組織仍定期有意識地發(fā)布易受攻擊的代碼。

推送易受攻擊的代碼的主要原因包括：迫于發(fā)布期限（54％）和在軟件開發(fā)生命周期中發(fā)現(xiàn)漏洞太晚（45％）。

受訪者表示，開發(fā)人員缺乏緩解問題的知識以及應(yīng)用安全工具之間缺乏集成是他們實施DevSecOps面臨的兩個主要挑戰(zhàn)。但是，十家公司中有近九家表示他們今年將對應(yīng)用安全進(jìn)行進(jìn)一步投資。

軟件開發(fā)格局正在演變

報告揭示了應(yīng)用安全的實踐和工具如何與新興的開發(fā)方法相交，并增加了新的優(yōu)先事項，例如降低開源風(fēng)險和API測試。

“當(dāng)今的軟件開發(fā)正飛速發(fā)展。微服務(wù)驅(qū)動的架構(gòu)，容器和云原生應(yīng)用程序正在改變開發(fā)人員構(gòu)建，測試和部署代碼的方式。如果沒有更好的測試，集成和日常開發(fā)人員培訓(xùn)，組織將面臨重大的漏洞威脅，”Veracode的CTO Chris Wysopal說道。

報告主要發(fā)現(xiàn)：

· 60％的企業(yè)和組織報告說，過去12個月中，其生產(chǎn)應(yīng)用程序遭遇了OWASP十大漏洞利用。同樣，70%的應(yīng)用程序在初始掃描時在開源庫中存在安全漏洞。

· 開發(fā)人員缺乏有關(guān)如何緩解問題的知識是AppSec面臨的最大挑戰(zhàn)。53％的組織每年僅為開發(fā)人員提供一次或更少的安全培訓(xùn)。數(shù)據(jù)顯示，掃描頻率最高的前1％應(yīng)用程序的安全漏洞數(shù)量是掃描頻率最低的應(yīng)用程序的五分之一，這意味著頻繁掃描有助于開發(fā)人員發(fā)現(xiàn)并修復(fù)缺陷，從而大大降低組織的風(fēng)險。

· 43％的人認(rèn)為DevOps集成是改進(jìn)應(yīng)用安全計劃的最重要方面。

· 84％的用戶報告由于過多的應(yīng)用安全工具而面臨挑戰(zhàn)，導(dǎo)致DevOps集成變得困難。43％的公司報告說他們正在使用11-20個應(yīng)用安全工具，而22％的公司說他們正在使用21-50個應(yīng)用安全工具。

根據(jù)ESG的相關(guān)報告，最高效的應(yīng)用安全流程一般具備以下幾個關(guān)鍵組成部分和特征：

· 應(yīng)用程序安全性已高度集成到CI/CD工具鏈中

· 持續(xù)的針對開發(fā)人員的定制化的應(yīng)用安全培訓(xùn)

· 跟蹤各個開發(fā)團(tuán)隊中的持續(xù)改進(jìn)指標(biāo)

· 開發(fā)經(jīng)理正在共享應(yīng)用最佳實踐

· 分析跟蹤應(yīng)用安全程序的進(jìn)度并向管理者提供數(shù)據(jù)報告