Tromzo发布一项调查表明,改善安全团队与开发人员的关系,有助于在提高软件安全性上发挥更大作用。该调查结果基于对403名美国应用程序安全从业者的调查,这些从业者在其开发团队使用CI/CD系统的组织中工作。
Tromzo首席执行官表示:“调查结果证实了这个观点,即安全团队有必要在2022年将改善与开发者的关系作为一项首要任务。”当将安全性推迟到软件开发过程的后期时,这种延迟会以明显和意外的方式使公司付出巨大的代价。
但可以通过为开发人员简化安全措施来增加软件的安全性,这意味着将安全检测集成到SDLC中,并将安全防御从被动转到主动上来。
应用程序安全状态
应用程序安全态势仍旧很严峻,67%的人在过去一年中经历过安全事件。如果安全团队确信在开发环境中实施了安全防御及安全检测措施,会降低发生严重安全事件的风险。
40%有5,000个或更多安全漏洞需要解决,而且在过去12个月中,这一比率迅速增加。这种漏洞的激增是AppSec团队必须尽早解决的普遍问题。
与其将安全性推迟到以后,不如让它成为开发过程的核心部分。将安全性注入到每个开发决策中,而安全工作的总体成本也会降低。
在引入缺陷的那一刻修复它是最容易的。以后修复它的难度呈指数级增长。例如,在设计阶段引入的缺陷直到部署后才得到解决,这将需要付出更多的努力来修复。数据显示它需要25倍的努力。
让安全成为开发过程的一部分
42%的人认为看到的误报和噪音较多。误报和噪音是缺乏上下文的安全工具的副产品,常见的静态代码检测工具会存在一些类似问题,但随着技术深入及检测工具对上下文敏感的运用,当前存在误报率、漏报率等问题大大降低的工具。
减少开发人员和安全性之间的摩擦将对改进应用程序安全性程序产生重要的影响。任何试图将安全与开发团队之间的冲突最小化的尝试,如果不包括将安全向左转移,都不可能成功。安全性在开发周期结束时实现,很可能造成与开发人员的摩擦,进而导致安全的应用程序部署延迟。
忽视安全是开发者最大的挑战。这个问题通过将安全左移可以进行有效解决,在整个SDLC中集成安全检测将显着改善与开发人员的关系,从外部防御软件安全转移到主动提高软件安全上来,协助开发人员能够开发安全代码。当建立了安全性时,企业可以节省精力、最大限度地提高生产力、在引入漏洞时快速解决它们,甚至完全避免引入漏洞。
网络安全学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话点击下方蓝色字 即可免费领取↓↓↓
**读者福利 |** 👉优快云大礼包:《网络安全入门&进阶学习资源包》免费分享
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
