新思科技发布最新 DevSecOps报告

采用DevSecOps方法论现已成为现代软件开发的一部分。，成功的DevSecOps策略使用完整的安全工具集来处理整个软件开发生命周期中的代码质量和安全问题，包括动态应用安全测试(DAST)、交互式应用安全测试(IAST)、静态应用安全测试(SAST)和软件组成分析(SCA)工具。但是，目前网络安全人才短缺仍是DevSecOps面临的一个重大挑战。

近日，新思科技(Synopsys, Inc.，Nasdaq: SNPS)发布了《2023 年全球DevSecOps 现状调查》报告。该报告审查了影响软件安全的策略、工具和实践，由 新思科技网络安全研究中心汇总。新报告基于市场研究咨询机构 Censuswide 对全球 1,000 多名 IT 专业人员的调研进行汇编，其中包括开发人员、AppSec专业人员、DevOps 工程师和 CISO，以及技术、网络安全和软件开发领域的专家。

超过 80% 的受访者表示，已部署软件中的重大安全问题影响了他们2022年的 DevOps 交付进度。实施 DevSecOps 是一个专注于在软件开发生命周期 (SDLC) 的每个阶段嵌入安全测试的框架，是减少生产应用中关键漏洞和可利用安全问题数量的既定方法。

新思科技软件质量与安全部门总经理Jason Schmitt表示：“虽然绝大多数(91%)的企业已经在不同程度上采用了 DevSecOps 实践，但在如何有效地部署方面仍然面临障碍，特别是在企业规模级别领域。具体来说，我们注意到全球各地的企业都在努力整合其团队使用的多种应用安全测试工具的结果并确定其优先级。他们还争取通过基础设施即代码自动执行安全和合规策略，受访者最常将这种方式视为其安全计划整体成功的关键因素。”

该调研报告主要发现如下：

• 大多数安全专业人员已经在使用人工智能，同时，他们更是对其风险保持警惕。大多数 (52%) 的受访者表示，他们正在积极使用人工智能来增强企业的软件安全措施。然而，更多的人 (76%) “非常或有些担心”基于人工智能的网络安全解决方案的潜在错误或风险。

• 大多数企业修复漏洞所需的时间可能长达数周。 28% 的受访者表示，他们需要长达三周的时间来修补已部署应用中的关键安全风险/漏洞。另外， 20% 的人表示这可能需要长达一个月的时间，尽管大多数漏洞在几天内就会被利用。

• 至少三分之二的受访者认为应用安全测试工具有用。当提及衡量安全工具和实践的有用性时，至少三分之二的受访者认为它们有效。调研中列出的安全工具包括动态应用安全测试 (DAST)、交互式应用安全测试 (IAST)、静态应用安全测试 (SAST) 以及软件组成分析 (SCA)。受访者将 SAST 视为最受推崇的应用安全测试(AST)工具，72% 的人表示他们认为它很有用。紧随其后的是 IAST (69%)、SCA (68%) 和 DAST (67%)。

• 安全测试职责由内部安全和开发/工程团队平等分担。软件开发人员和工程师 (45%) 与内部安全团队成员 (46%) 一样有可能承担对关键业务应用和持续改进 (CI) 管道执行安全测试的任务。三分之一 (33%) 的企业还聘请外部顾问来补充内部团队的安全工作。