近日Wabbi与IDG发布了一项新的研究发现:企业利用持续安全可减少了50%的漏洞。
该研究侧重于将企业的业务发展与安全形成一体化以及持续安全的好处。参与者包括I和安全部门的负责人、软件/应用开发经理以及不同行业和公司规模的主管。这些研究数据探讨了在整个软件开发生命周期(SDLC)中集成安全性的优先级和趋势。该研究成果和发现主要体现在以下几个方面:
IT/安全领导者认识到集成安全的价值
随着攻击的种类、数量每天都在增加,施行防御措施来应对每一种潜在风险几乎是一项不可完成的任务。在具体风险影响方面,SDLC中缺乏安全集成导致的问题主要体现在:项目延迟(72%)、财务损失(63%)、品牌声誉受损(57%)等。
调查数据显示,为了更好地应对风险,越来越多的企业开始意识到将安全集成到整个软件开发生命周期中的重要性——98%的受访者高度重视在整个开发生命周期中的集成安全性。
然而,安全集成的好处不仅仅是减少入侵。实际上,70%的受访者将提高工作效率列为安全集成的首要好处,而节省成本和减少安全入侵方面则被67%的受访者认同。
“为了消除开发和安全之间的隔阂,安全必须融入整个开发的生命周期,”Wabbi的首席执行官Brittany Greenfield表示,“在理解安全集成的重要性方面,整体团队仍需继续进行结构性工作,以实施持续安全的方法来交付更安全的代码、更少的违规、更少的经济损失、更少的交付延迟和更少的业务中断。”
采用自动化可使团队规避彼此之间的“障碍”
当前的应用程序安全流程似乎普遍都在制造“障碍”:53%的受访者表示因安全流程导致对开发周期产生了“一定程度”的问题,而47%的受访者表示产生了“很大程度”的问题。造成这一状况的首要原因是开发运维团队和安全团队之间的协作不佳(72%),其次是由于复杂的文档难以确定正确的项目和重要的安全要求(71%),以及SDLC/CI/CD中缺乏安全流程编排(68%)。
虽然开发、运维流程通常高度自动化,但55%的受访者表示安全流程的自动化程度中等或较低。此外,在61%的受访企业中,开发和安全团队之间的反馈共享过程没有完全自动化。即便如此,大多数受访者(79%)表示,他们的安全团队认可这种观点并回应了来自开发团队的反馈。
实现持续性安全以增强开发团队的能力
虽然只有31%的受访者授权开发团队负责应用程序安全,但这些组织不太可能报告其在过去一年中发布了哪些带有安全漏洞的应用程序,并且更有可能的是,其在SDLC的规划阶段会提供安全需求和反馈机会(48%受访者vs 16%受访者)。
此外,受访者更经常报告开发运维团队和安全团队之间的反馈共享流程完全自动化(49%受访者vs 25%受访者)。而且,他们已经采用持续安全方法的可能性几乎是以前的两倍,受访者认为,增强开发团队的能力(73%)、实现实时协作(72%)和降低安全风险(70%)是持续安全战略的最大潜在优势。
此外,有22%的受访者表示他们正在尝试持续安全策略,46%的受访者计划在明年采用这一策略。那些完全采用持续性安全的企业能够利用集成、自动化来减少漏洞。对于那些还没有采用持续性安全策略的组织来说,它其实也并不复杂——只要设计一个适当的流程,企业就可以实现持续的安全性,以增强开发团队的能力,实现实时协作,并降低安全风险。