Σχεδόν οι μισοί οργανισμοί αποστέλλουν τακτικά και εν γνώσει τους ευάλωτο κώδικα, παρά τη χρήση εργαλείων AppSec, σύμφωνα με τη Veracode.
Μεταξύ των κορυφαίων λόγων που αναφέρθηκαν για την προώθηση ευάλωτου κώδικα, ήταν η πίεση να τηρηθούν οι προθεσμίες έκδοσης (54%) και η εύρεση ευπαθειών πολύ αργά στον κύκλο ζωής της ανάπτυξης του λογισμικού (45%).
Οι ερωτηθέντες δήλωσαν ότι η έλλειψη γνώσεων των προγραμματιστών για τον μετριασμό των ζητημάτων και η έλλειψη ενοποίησης μεταξύ των εργαλείων AppSec ήταν δύο από τις κορυφαίες προκλήσεις που αντιμετωπίζουν με την εφαρμογή του DevSecOps. Ωστόσο, σχεδόν εννέα από τις δέκα εταιρείες δήλωσαν ότι θα επενδύσουν περαιτέρω στο AppSec φέτος.
Η ανάπτυξη του λογισμικού εξελίσσεται
Η έρευνα ρίχνει φως στο πώς οι πρακτικές και τα εργαλεία του AppSec τέμνονται με τις αναδυόμενες μεθόδους ανάπτυξης και τη δημιουργία νέων προτεραιοτήτων, όπως η μείωση του κινδύνου ανοιχτού κώδικα και οι δοκιμές των API.
“Το τοπίο ανάπτυξης λογισμικού σήμερα εξελίσσεται με ταχύτητα βήματα. Αρχιτεκτονική , κοντέινερ και εφαρμογές cloud που βασίζονται σε μικροσυσκευές, αλλάζουν τη δυναμική του τρόπου δημιουργίας, δοκιμής και ανάπτυξης κώδικα των προγραμματιστών. Χωρίς καλύτερες δοκιμές, ενσωμάτωση και τακτική εκπαίδευση των προγραμματιστών, οι οργανισμοί θα αντιμετωπίσουν σημαντικές παραβιάσεις”, δήλωσε ο Chris Wysopal , CTO στο Veracode .
Σημαντικά ευρήματα
- Το 60% των οργανισμών αναφέρουν ότι εκμεταλλεύονται εφαρμογές παραγωγής, που έχουν αξιοποιηθεί από τις 10 ευπάθειες του OWASP τους τελευταίους 12 μήνες. Ομοίως, 7 στις 10 εφαρμογές έχουν ένα ελάττωμα ασφαλείας σε μια βιβλιοθήκη ανοιχτού κώδικα κατά την αρχική σάρωση.
- Η έλλειψη γνώσης των προγραμματιστών σχετικά με τον τρόπο επίτευξης των ζητημάτων είναι η μεγαλύτερη πρόκληση του AppSec. Το 53% των οργανισμών παρέχει εκπαίδευση ασφάλειας για προγραμματιστές μόνο μία φορά το χρόνο ή και λιγότερο. Τα δεδομένα δείχνουν ότι μόνο το 1% των εφαρμογών με την υψηλότερη συχνότητα σάρωσης φέρει περίπου πέντε φορές λιγότερο κόστος ασφαλείας ή ανεπίλυτα ελαττώματα, από τις λιγότερο συχνά σαρωμένες εφαρμογές, πράγμα που σημαίνει ότι η συχνή σάρωση βοηθά τους προγραμματιστές να βρουν και να διορθώσουν ελαττώματα για να μειώσουν σημαντικά τον κίνδυνο του οργανισμού τους.
- Το 43% ανέφερε την ενσωμάτωση του DevOps ως την πιο σημαντική πτυχή για τη βελτίωση του προγράμματος AppSec.
- Το 84% αναφέρει προκλήσεις λόγω πάρα πολλών εργαλείων AppSec, που καθιστούν δύσκολη την ενσωμάτωση του DevOps. Το 43% των εταιρειών αναφέρουν ότι χρησιμοποιούν μεταξύ 11-20 AppSec εργαλεία, ενώ το 22% είπε ότι χρησιμοποιούν μεταξύ 21-50.
Σύμφωνα με την ESG, τα πιο αποτελεσματικά προγράμματα AppSec αναφέρουν τα ακόλουθα, σαν μερικά από τα κρίσιμα στοιχεία:
- Η ασφάλεια των εφαρμογών είναι ιδιαίτερα ενσωματωμένη στην εργαλειοθήκη CI / CD
- Συνεχής, προσαρμοσμένη εκπαίδευση AppSec για προγραμματιστές
- Παρακολούθηση μετρήσεων συνεχούς βελτίωσης σε μεμονωμένες ομάδες ανάπτυξης
- Οι βέλτιστες πρακτικές του AppSec κοινοποιούνται από τους διαχειριστές ανάπτυξης
- Χρήση αναλυτικών στοιχείων για την παρακολούθηση της προόδου των προγραμμάτων AppSec και την παροχή δεδομένων στη διαχείριση