JFrog Security首席技術官Asaf Karas表示:“在確保軟件供應鏈安全方面,企業本就已經面臨巨大的挑戰,如果還要使用多種工具,情況就會變得更加復雜,迫使開發人員在多個線上工作環境之間頻繁切換,從而降低工作效率,在增加時間成本的同時也導致風險增加。IDC的調查為企業投資于更精簡的安全流程、工具和培訓提供了有力的論據,這些投資將有助于其開發人員更高效、更有力地保護軟件供應鏈。”
調查報告中,半數受訪對象表示,他們每周約有19% 的時間用于處理安全相關任務,而且很多時候是在正常工作時間之外,這就可能會導致他們對軟件安全采取被動而非主動的舉措。IDC 調查的其他主要發現包括:
● 追影逐跡,消除誤報:開發人員平均花費3.5小時手動審查安全掃描結果,以排除誤報和重復項。
● 上下文至關重要: 69% 的開發人員同意或非常同意,他們的安全相關職責要求他們在各種工具之間頻繁切換上下文,從而降低了工作效率。而由于需要繞過每個工具平臺的重新驗證,多工具上下文切換也會增加令牌的使用。令牌對應用程序開發很有幫助,但也可能被遺忘在工作流中,從而在公司的系統中留下可供攻擊者利用的安全隱患。
● 密鑰管理絕非易事: 開發人員將 50% 的時間用于解析密鑰掃描結果、修改代碼以修復發現的問題,以及更新密鑰管理措施。
● 基礎設施調查: 基礎設施即代碼(IaC)用于自動配置和管理服務器、網絡、操作系統和存儲等 IT 基礎設施,須在每次代碼更改時對其進行掃描,超過 54% 的開發人員表示他們每周或每月運行一次 IaC 掃描。
● SAST 并非萬無一失: 盡管靜態應用安全測試(SAST)工具已被集成到本地開發環境中,可在開發人員編寫代碼時提供測試結果,但只有 23% 的開發人員在將代碼部署到生產環境之前運行 SAST 掃描,這就為惡意代碼的潛入留下了巨大的隱患。
IDC DevSecOps 和軟件供應鏈安全研究經理 Katie Norton表示:“DevSecOps 不僅是企業的當務之急,也是構建未來安全應用程序的基石。然而,如何克服那些效率低下、應用不當的工具帶來的挑戰,避免它們耗費開發人員的時間并增加成本,是行業面臨的一大難題。要想取得成功,IT 和軟件開發團隊的領導者必須將重復耗時的任務自動化,確保 DevSecOps 工具能以極低的誤報率實現精準交付,并為開發人員提供持續的應用安全教育和資源,使其能夠時刻關注日益嚴峻的威脅態勢。”
IDC 信息簡報的調查對向包括來自美國、英國、法國和德國的20多家員工規模在千人以上的公司的高級開發人員、團隊管理者、產品負責人和開發經理。
京公網安備 11010502049343號