devs知道应用程序安全性很重要,但没有时间

SONATYPE调查了2,076个IT专业人士,以了解正在发展的Devsecops实践,转换投资和不断变化的看法,以及调查结果表明,自2017年以来,与开源组件的违规行为令人惊叹,自2014年以来增长了121%。

Devsecops投资

这是在索塔型的调查结果开始,这表明由英国开发人员下载的8个开源组件中的1个包含了已知的安全漏洞。

然而,尽管如此,资源和培训仍然存在挑战:48%的受访者承认他们没有足够的时间在申请安全上花费,而35%的开发商来自没有Devops实践的公司过去没有关于应用安全培训年。

Devsecops投资至关重要

结果还透露,开发商占安全专业人员100:1,突出了自动应用安全测试的迫切需要减轻风险并提高业务生产力。

调查结果表明,更多的组织正在唤醒这种方法,成熟的Devops实践在在整个开发生命周期应用安全实践时,增加了15%的增长。

Opis.

该调查发现,拥有成熟的Devops实践的公司在其在其开发生命周期中部署自动安全实践的可能性更有可能进行24%。对开放源治理,集装箱安全性和Web应用程序防火墙的投资被指出,追求Devsecops转型的公司最为关键。

调查中的其他主要发现包括:

  • 77%的成熟Devops组织具有开源政策,依从性76%。相反,没有成熟的Devops实践的只有58%的受访者有一个54%的依从性率–揭示Devsecops自动化很难忽略。
  • 59%的成熟Devops公司正在为其发展过程建立更多的安全自动化,因为对GDPR合规性的注意力增长。
  • 88%的具有成熟Devops实践的人正在投资于应用安全培训,而35%的未成熟实践表示他们无法获得安全培训。这一发现指出了更强大的网络安全准备姿势投资Devops的姿势。
  • 63%的具有成熟Devops实践的受访者表示,他们利用安全产品来识别容器中的漏洞,因为这些组件在现代IT景观中变得更加无处不在。
  • 48%的受访者承认,开发人员知道申请安全性很重要,但他们没有时间花费它,揭示了自动化安全投资的增长。

“似乎具有安全性心态的Devops还不够。全吹的Devsecops - 其中安全是软件交付的基础原则,从“Go”中考虑 - 需要,“Contino的联合创始人和CTO表示。

“这不仅仅是关于自动发展,部署和安全;这也是改变组织的所有部分的方式–技术和其他–参与软件开发生命周期。如果您考虑过它,您会看到在大型组织中,Devsecops真的是Devsecopsandeveryobyelse,“金融服务业的首席安全建筑师Oleg Gryb添加了Oleg Gryb。

2018年RSA大会

分享这个