新思科技:许多组织仍会提交易受攻击的代码

2020-09-22来源: EEWORLD关键字:新思科技

美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布的《现代应用程序开发安全》报告发现尽管许多组织仍会提交易受攻击的代码,但大多数组织认为他们的应用安全计划都是可靠的。拥有良好的应用安全计划并不意味着组织将不再提交易受攻击的代码。区别在于提交此类代码的人完全知情并清楚地了解他们所承担的风险。

 

要想实现应用程序安全就需要持续对潜在风险进行分类处理,这其中就涉及到如何制定优先级决策,使得开发团队既能在规定日期前交付应用程序,同时还能降低风险。如果在开发周期中过晚发现漏洞,那么这些漏洞通常将无法得到解决。这也进一步强调了尽早注重应用程序安全的重要性。因为只有尽早发现漏洞才能留出足够的时间及时解决关键问题,不影响按时交付。

 

image.png


根据行业分析公司Enterprise Strategy Group (ESG)对网络安全和应用程序开发专业人员进行的一项调查,《现代应用程序开发安全》报告着重说明了安全团队对现代开发和部署实践的了解程度以及需要采取哪些安全控制措施以降低风险。该研究发现,将近一半(48%)的调查受访者因时间压力,仍会提交易受攻击的代码。研究还表明,43%的受访者表示DevOps集成对于改善应用安全计划至关重要。

 

ESG资深分析师Dave Gruber表示:“DevSecOps已在现代开发领域中将安全放在了前端和核心的位置;然而,安全和开发团队业务指标不同,很难达成统一的目标。大多数安全团队缺乏对现代应用程序开发实践的了解,也进一步加剧了这一挑战。向微服务架构的转型,以及对容器和无服务器模式的使用已经改变了开发人员构建、测试和部署代码的方式。”

 

新思科技委托权威IT分析和研究机构ESG,记录有关开发团队和网络安全团队之间有关应用程序安全解决方案部署和管理的现状和见解。ESG对378名负责IT、网络安全和应用程序开发的专业人员进行了采访和调研。受访者对安全的应用程序开发技术有深入了解并负责这方面的工作,或者采用安全开发工具和流程进行应用程序开发。受访者在美国和加拿大的多个行业工作,包括制造业、金融业、建筑与工程行业和商业服务业等。

 

新思科技软件质量与安全部门产品市场总监Patrick Carey表示:“这项研究的关键见解凸显了企业需要在整个开发生命周期中全面处理应用程序安全。在仍提交易受攻击的代码的企业中,45%是因为在开发周期中过晚发现漏洞,以至于这些漏洞无法及时解决。这再次说明在开发流程中将安全左移的重要性,开发团队需要能够持续接受培训,并在当前的流程提供补充的工具解决方案,以便他们能够在不影响速度的前提下安全地进行编码。”

 

研究的主要发现包括:

 

  • 大多数组织认为他们的应用程序安全计划都是可靠的,尽管许多组织仍然会提交易受攻击的代码。69%的受访者将他们现有计划的有效性评为8分或更高分,评级从0分到10分(其中10分表示最有效)。但是,由于近一半的企业仍然定期提交易受攻击的代码,因此大多数组织在过去12个月遭受到OWASP Top 10漏洞入侵其生产应用程序。

  • DevOps集成是改进的关键要素。超过四分之一的受访者表示他们现在的应用程序安全工具增加了摩擦并减缓了开发周期,而23%的受访者则认为与开发/ DevOps工具的不良集成成为最常见的挑战。此外,26%的受访者指出,不同的应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是常见的应用程序安全挑战。

  • 开发人员在应用程序安全中扮演重要角色,但是他们缺乏技巧和培训。近三分之一(29%)的受访者表示,企业内的开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且仅仅17%的受访者表示他们的开发人员利用其安全工具中提供的即时培训,只有29%的受访者被要求每季度至少参加一次培训。

  • 企业计划增加应用程序安全支出。超过一半(51%)的受访者表示计划在未来12个月内大幅增加应用程序安全的支出。44%的受访者计划将应用程序安全投资瞄准云端。

  • AppSec工具的激增正在推动许多组织投资于工具整合。许多组织在努力整合和管理现有的工具,这往往会降低安全计划的有效程度,并需要安排过多资源来管理工具。72%的受访者使用的工具超过10种,复杂性成为了一个关键问题,因此超过三分之一的受访者将投资重点放在了整合上面。

 


关键字:新思科技 编辑:muyan 引用地址:http://news.eeworld.com.cn/IoT/ic511146.html 本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:万物互联的时代,物联网安全如何保障?
下一篇:Akamai:视频游戏公司和玩家是网络攻击者的首选对象

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

新思科技通过中国信息通信研究院开源工具本地化方案评测
很多软件都是建立在可重用的开源组件的基础之上。虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。因此,他们仍未了解其开源风险和义务。新思科技Black Duck解决方案是帮助企业在整个软件开发生命周期(SDLC) 中管理开源的解决方案,可以在开发和运营的各个阶段为企业提供帮助。 美国新思科技公司  (Synopsys) 于2020年10月16日亮相2020 OSCAR开源产业大会,并且大会宣布新思科技高分通过中国信息通信研究院的开源工具的本地化方案评测。值得一提的是,新思科技软件组成分析工具Black Duck在此次严苛的评估中表现优异,开源组件
发表于 2020-10-16
<font color='red'>新思科技</font>通过中国信息通信研究院开源工具本地化方案评测
新思科技联合Elektrobit推出用于ARC功能安全处理器IP的EB tresos Classic AUTOSAR软件
为加快早期软件开发,Elektrobit将其Classic AUTOSAR软件移植到新思科技的ARC EM 和HS功能安全处理器上基于ARC处理器的硬件和软件平台让汽车芯片开发者能够根据AUTOSAR标准快速开发关键安全功能组合解决方案支持用于单芯片汽车解决方案的集成安全管理器,可降低系统成本,减少芯片功耗和面积,并提高实时响应速度新思科技(Synopsys, Inc. , 纳斯达克股票代码:SNPS)近日宣布,为汽车行业提供嵌入式互联软件产品的全球供应商Elektrobit (EB)为其符合ASIL-D的DesignWare®ARC® EM及ARC HS功能安全(FS)处理器IP提供EB tresos Classic
发表于 2020-10-14
芯际探索——2020新思开发者大会的些许感受
作为需要不断创新的半导体产业来说,EDA公司更是需要先行一步,为客户的创新提供更创新的工具,新思科技等一直就是EDA行业的创新代表。新思开发者大会(前身为SNUG,新思用户大会)最期待的,除了技术革新之外,就是每年的不同主题了。今年配合人类太空探索所推出的“芯际探索”主题,代表了新思科技不断创新的追求,现场也充满了众多太空元素。新思科技中国董事长兼全球资深副总裁葛群表示:“我们要像人类探求宇宙,探索星际的未知一样,探索芯片的未来。我们愿与所有开发者共思同行,探索更多未知边际,带领国内技术研发力量走向更深远未来,以创新改变世界。”新思科技中国董事长兼全球资深副总裁葛群开发者大会的意义今年是新思开发者大会30周年纪念,遗憾
发表于 2020-09-09
芯际探索——2020<font color='red'>新思</font>开发者大会的些许感受
新思科技助力法国电信企业SFR应对软件安全挑战
美国新思科技公司发布的Seeker交互式应用安全测试解决方案可以帮助开发人员在软件开发生命周期( SDLC )早期解决关键安全漏洞,节省宝贵的时间、资源和成本。企业可以通过在投产之前保障应用安全来降低风险。 法国电信企业SFR (Société française du radiotelephone)为应对软件安全的挑战,开始采用Seeker交互式应用安全解决方案,实现了在SDLC早期就能确保代码安全,并且将开发人员置于安全测试核心的位置。 企业概览Altice Europe是一家跨国电信集团,在法国电信与媒体融合领域有着举足轻重的地位,通过其旗下的电信运营商SFR (Sociét
发表于 2020-09-07
<font color='red'>新思科技</font>助力法国电信企业SFR应对软件安全挑战
新思科技联手 Elektrobit推出用于 ARC 功能安全处理器 IP AUTOSAR
新思科技 和Elektrobit (EB) 这家富有远见卓识的汽车行业嵌入式和互联软件产品的全球供应商,今天共同宣布推出用于新思科技符合 ASIL-D 的 DesignWare® ARC® EM 和 ARC HS 功能安全 (FS) 处理器 IP  的 EB tresos 经典 AUTOSAR软件。该 EB tresos AUTOSAR 软件将和 ARC 功能安全处理器一起提供一个硬-软件平台,助力汽车
发表于 2020-09-02
小广播
换一换 更多 相关热搜器件
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2020 EEWORLD.com.cn, Inc. All rights reserved