近日Wabbi與IDG發(fā)布了一項(xiàng)新的研究發(fā)現(xiàn):企業(yè)利用持續(xù)安全可減少了50%的漏洞。
該研究側(cè)重于將企業(yè)的業(yè)務(wù)發(fā)展與安全形成一體化以及持續(xù)安全的好處。參與者包括I和安全部門的負(fù)責(zé)人、軟件/應(yīng)用開發(fā)經(jīng)理以及不同行業(yè)和公司規(guī)模的主管。這些研究數(shù)據(jù)探討了在整個(gè)軟件開發(fā)生命周期(SDLC)中集成安全性的優(yōu)先級和趨勢。該研究成果和發(fā)現(xiàn)主要體現(xiàn)在以下幾個(gè)方面:
IT/安全領(lǐng)導(dǎo)者認(rèn)識到集成安全的價(jià)值
隨著攻擊的種類、數(shù)量每天都在增加,施行防御措施來應(yīng)對每一種潛在風(fēng)險(xiǎn)幾乎是一項(xiàng)不可完成的任務(wù)。在具體風(fēng)險(xiǎn)影響方面,SDLC中缺乏安全集成導(dǎo)致的問題主要體現(xiàn)在:項(xiàng)目延遲(72%)、財(cái)務(wù)損失(63%)、品牌聲譽(yù)受損(57%)等。
調(diào)查數(shù)據(jù)顯示,為了更好地應(yīng)對風(fēng)險(xiǎn),越來越多的企業(yè)開始意識到將安全集成到整個(gè)軟件開發(fā)生命周期中的重要性——98%的受訪者高度重視在整個(gè)開發(fā)生命周期中的集成安全性。
然而,安全集成的好處不僅僅是減少入侵。實(shí)際上,70%的受訪者將提高工作效率列為安全集成的首要好處,而節(jié)省成本和減少安全入侵方面則被67%的受訪者認(rèn)同。
“為了消除開發(fā)和安全之間的隔閡,安全必須融入整個(gè)開發(fā)的生命周期,”Wabbi的首席執(zhí)行官Brittany Greenfield表示,“在理解安全集成的重要性方面,整體團(tuán)隊(duì)仍需繼續(xù)進(jìn)行結(jié)構(gòu)性工作,以實(shí)施持續(xù)安全的方法來交付更安全的代碼、更少的違規(guī)、更少的經(jīng)濟(jì)損失、更少的交付延遲和更少的業(yè)務(wù)中斷。”
采用自動化可使團(tuán)隊(duì)規(guī)避彼此之間的“障礙”
當(dāng)前的應(yīng)用程序安全流程似乎普遍都在制造“障礙”:53%的受訪者表示因安全流程導(dǎo)致對開發(fā)周期產(chǎn)生了“一定程度”的問題,而47%的受訪者表示產(chǎn)生了“很大程度”的問題。造成這一狀況的首要原因是開發(fā)運(yùn)維團(tuán)隊(duì)和安全團(tuán)隊(duì)之間的協(xié)作不佳(72%),其次是由于復(fù)雜的文檔難以確定正確的項(xiàng)目和重要的安全要求(71%),以及SDLC/CI/CD中缺乏安全流程編排(68%)。
雖然開發(fā)、運(yùn)維流程通常高度自動化,但55%的受訪者表示安全流程的自動化程度中等或較低。此外,在61%的受訪企業(yè)中,開發(fā)和安全團(tuán)隊(duì)之間的反饋共享過程沒有完全自動化。即便如此,大多數(shù)受訪者(79%)表示,他們的安全團(tuán)隊(duì)認(rèn)可這種觀點(diǎn)并回應(yīng)了來自開發(fā)團(tuán)隊(duì)的反饋。
實(shí)現(xiàn)持續(xù)性安全以增強(qiáng)開發(fā)團(tuán)隊(duì)的能力
雖然只有31%的受訪者授權(quán)開發(fā)團(tuán)隊(duì)負(fù)責(zé)應(yīng)用程序安全,但這些組織不太可能報(bào)告其在過去一年中發(fā)布了哪些帶有安全漏洞的應(yīng)用程序,并且更有可能的是,其在SDLC的規(guī)劃階段會提供安全需求和反饋機(jī)會(48%受訪者vs 16%受訪者)。
此外,受訪者更經(jīng)常報(bào)告開發(fā)運(yùn)維團(tuán)隊(duì)和安全團(tuán)隊(duì)之間的反饋共享流程完全自動化(49%受訪者vs 25%受訪者)。而且,他們已經(jīng)采用持續(xù)安全方法的可能性幾乎是以前的兩倍,受訪者認(rèn)為,增強(qiáng)開發(fā)團(tuán)隊(duì)的能力(73%)、實(shí)現(xiàn)實(shí)時(shí)協(xié)作(72%)和降低安全風(fēng)險(xiǎn)(70%)是持續(xù)安全戰(zhàn)略的最大潛在優(yōu)勢。
此外,有22%的受訪者表示他們正在嘗試持續(xù)安全策略,46%的受訪者計(jì)劃在明年采用這一策略。那些完全采用持續(xù)性安全的企業(yè)能夠利用集成、自動化來減少漏洞。對于那些還沒有采用持續(xù)性安全策略的組織來說,它其實(shí)也并不復(fù)雜——只要設(shè)計(jì)一個(gè)適當(dāng)?shù)牧鞒?,企業(yè)就可以實(shí)現(xiàn)持續(xù)的安全性,以增強(qiáng)開發(fā)團(tuán)隊(duì)的能力,實(shí)現(xiàn)實(shí)時(shí)協(xié)作,并降低安全風(fēng)險(xiǎn)。