新思科技發布軟件開發安全報告 推動DecSecOps發展

新思科技發布軟件開發安全報告推動DecSecOps發展

Flying195 / 2020-09-22 21:3741809

隨著開源的廣泛使用，交互式應用變得越來越常見，但開源組件的安全問題隨之增加，企業也開始逐漸意識到開源程序安全的重要性，因此對于軟件安全測試的需求開始逐步增多。而新思科技作為一家致力于軟件安全的公司，在9月22日的下午，借助行業分析公司Enterprise Strategy Group (ESG)對378名負責IT、網絡安全和應用程序開發的專業人員進行的采訪和調研，發布了《現代應用程序開發安全》報告，就應用軟件開發安全問題展開了溝通，我們也有幸采訪到新思科技軟件質量與安全部門高級安全架構師楊國梁先生。

微信截圖_20200922140539.jpg

API 是現代移動、SaaS 和 Web 應用程序的重要組成部分，由于API 會暴露應用程序邏輯和個人身份信息 (PII) 等敏感數據，API 逐漸成為眾多攻擊者的目標，保護這些 API 是目前軟件開發人員最重要的一個挑戰。根據新思科技近期公開的《現代應用程序開發安全》報告顯示：目前有92%的受訪者在使用或計劃部署API安全控制。可以說API防護會是每一個開發人員都需要考慮的問題。

新思科技發布的報告著重說明了安全團隊對現代開發和部署實踐的了解程度以及需要采取哪些安全控制措施以降低風險。研究發現，將近一半（48%）的調查受訪者因時間壓力，仍會提交易受攻擊的代碼。研究還表明，43%的受訪者表示DevOps集成對于改善應用安全計劃至關重要。

新思科技軟件質量與安全部門高級安全架構師楊國梁

對于軟件開發公司來說，想要做到盡可能的安全，只有將應用程序安全工具需要貫穿至整個生命周期的每一個環節，深入到應用和基礎架構之中，才能將安全與軟件深度結合。如果只是將安全問題留到開發流程的最后再考慮，到時候又將會重回冗長開發周期，而這種將安全工具貫穿到軟件開發的每一個環節，就是DevSecOps。

由于安全工具已經貫穿到開發周期的每一個環節中，DevSecOps已經成為軟件開發工作流程的一部分，DevSecOps的引入可以縮短反饋回路并減少沖突，通過在預設的前端設立防線，研發人員可以優先去選擇那些已經接受過掃描的組件庫，減少工作量，以盡可能塊的確保使用的組件是安全的，進而加快檢測和修復問題。

微信截圖_20200922140619.jpg

得益于DecSecOps的快速響應能力，DecSecOps會更加適合一些發布周期短的軟件行業，例如各種互聯網公司，這類企業往往都是數小時甚至數分鐘更新一次，由于所有的軟件都是實時連線，對軟件更新的速度非常高，因此靈活高效的DecSecOps更加適合這類需要頻繁更新的企業，而如果是工業控制類軟件，速度是其次，保證穩定性才是最為重點。

DevSecOps是將安全集成到整個應用開發周期的過程，是從內到外強化應用，使其能夠靈活抵御各種潛在威脅的理想方式，但是高效的DevSecOps防護需要的不僅是一個單純全新的工具，它更需要整個公司實現 DevOps 的文化變革，而新思科技目前也在快速向DevSecOps邁進，并推動DevSecOps在企業中的發展，以構建更為安全的軟件開發環境。

點個贊812