共计 2161 个字符,预计需要花费 6 分钟才能阅读完成。
在软件平安的世界中,企业在软件开发生命周期中都面临着破绽带来的微小挑战。开发人员每天都须要确保交付没有破绽的代码,因而他们须要破费大量的工夫来解决首要解决的破绽问题以确保企业软件平安。然而确保产品没有破绽缺点的需要扼杀了翻新的步调,提早软件产品的上市工夫并导致支出和工夫上的巨大损失。
业内权威征询钻研机构 Ponemon Institute 对 634 位 IT 和平安领导者进行采访,就企业 DevSecOps 在治理破绽和攻击面方面进行钻研和考察,并公布企业 DevSecOps 破绽治理状态报告。该报告说明了企业破绽治理的一系列现状以及所面临的挑战。
破绽积压
Ponemon 示意企业在治理破绽时的另一项微小挑战就是要解决大量积压的破绽。依据报告结果显示,在过来的 12 个月里, 均匀有 110 万个破绽被积压,然而其中不到一半(46%)失去修复 。
尽管企业领有大量的破绽和扫描工具,不论是网络还是应用程序,再到云端及挪动端,涵盖技术基础设施的各个方面,但 Ponemon 报告钻研发现,43% 的受访者认为这些工具和办法未能无效地起到作用, 还有 47% 的受访者示意,因为他们无奈确定须要修复的破绽相应的优先级因而导致破绽积压未被修复。
随着企业积压的破绽数量逐步减少,打消这些破绽积压往往给其软件应用程序开发方面的资金和生产力造成损失。 考察发现,77% 的受访者示意,检测、优先排序和修复生产中的一个破绽每个步骤须要超过 21 分钟,这样意味着生产端的一个破绽须要破费一个多小时的工夫。
在开发方面,破绽治理变得更加有挑战性。据报告结果显示, 确定优先级和修复工夫也很长,有 82% 的受访者示意修复开发中的一个破绽须要超过 21 分钟,85% 的受访者示意确定开发中的一个破绽的优先级须要超过 16 分钟。 当被问及在环境中检测到重大或高风险破绽均匀须要多长时间能力修复时,14% 的受访者示意须要 6 周,须要 7 周的占 16%,须要 8 周的占 15%,还有 13% 的受访者示意须要 9 周来实现修复!修复破绽的工夫越长,破绽被利用的危险就越大,企业攻击面也会随之减少。
Seal 软件供应链防火墙 能够为用户匹配破绽修复的优先级,并主动提供修复倡议,大大节俭破绽修复工夫,极大水平升高企业被攻打的危险。
漫长的破绽检测和修复过程导致了破绽的积压。报告结果显示,有 66% 的受访者示意其所在的企业积压的破绽至多有 100,000 个,其中 54% 的人示意他们可能修补不到一半的积压破绽。手动检测、确定优先级再到修复破绽,这意味着企业团队每年须要破费数千小时进行破绽积压治理。
破绽治理能力有余
在受访者被问到以 1 到 10 的等级来评估其所在的企业在优先解决要害破绽的有效性,只有 29% 的人示意他们所在的企业在此方面十分无效。同样 1 到 10 的范畴评估破绽修补的及时性时, 只有 30% 的受访者示意其所在企业可能无效且及时地修补破绽。 这也阐明企业并未能领有足够的能力来治理破绽。
而在尝试解决破绽积压问题时,有几个因素正在给企业带来挑战。即无奈确定须要修复的优先级,没有足够的对于可能利用破绽的危险的信息,和不足无效的工具和资源。如之前所述,许多企业正在破费大量工夫来解决大量破绽积压问题,而平安团队无奈确定破绽的优先级以疾速解决最要害的破绽。超过一半的受访者 (53%) 示意其所在的企业只关注那些形成最大危险的破绽,而不是专一于修复所有破绽。然而,还有靠近一半的受访者示意,因为不确定哪些破绽带来的危险和危害最大,他们所在的企业修复了所有破绽。
因而 Ponemon 表明,企业须要正确的工具和策略来自动化破绽的检测、优先级和修复过程。否则他们无奈理论治理破绽积压。
自动化和 DevSecOps 是要害
当今破绽治理的毛病之一是无奈确定破绽的优先级,而胜利确定优先级的要害是使流程自动化。平安团队须要主动确定优先级,以使他们的补救工作更加及时和高效。自动化此过程能够显着缩小确定哪些破绽是最大危险所需的工夫。除了自动化之外,领有成熟的 DevSecOps 程序应该是破绽管理策略的重要组成部分。企业必须采取必要的步骤来推动他们的 DevSecOps 打算。
应用自动化进行破绽治理的企业正在看到成绩。例如,超过一半的受访者示意他们的企业应用自动化来修复破绽,其中大多数人示意此举曾经产生了显着的收益。当被问及自动化如何影响修复破绽所需的工夫时,43% 的人示意响应工夫显著缩短。当问及企业将哪些步骤自动化,后果是破绽修复(59%),破绽优先级排序(47%)以及破绽报告(41%)。
此外,企业也该当承受并施行“平安左移”,并将 DevSecOps 放在首位,因为 DevSecOps 框架从构建过程开始就为软件生命周期的所有阶段增加了自动化平安测试和协调,而不是为最终的软件审查阶段保留破绽测试环节。
许多企业都在致力充分利用 DevSecOps,尽管他们在优化模型应用方面面临阻碍,包含不足正确的平安工具、不足工作流集成、一直减少的破绽积压以及应用程序安全漏洞的增长,但这仍是确保软件开发平安的要害组成部分。DevSecOps 能够通过辨认在企业环境中不可利用的破绽来缩小高达 85% 的破绽积压以及修补工作。依据考察结果显示,45% 的受访者示意采纳 DevSecOps 的次要起因是缩小修复破绽所需的工夫 ,还有 33% 的人示意 DevSecOps 可能帮忙确定危险的优先级程序和补救措施。
