Global State of DevSecOps 2023

年全球现状调查 2023DevSecOps 影响软件安全的策略、工具和实践 概述 De关于vSecOps现状调查》报告 关于Synopsys《2023年 DevOps和DevSecOps 自动化的好处 A增S长OC/ASPM在DevSecOps中的应用日益 S状y调no查ps》y的s《主20要23发年现DevSecOps现 概述 关调于查》S报yn告opsys《2023年DevSecOps现状 2023年初，Synopsys网络安全研究中心(CyRC)联合国际市场研究咨询公司Censuswide，对负责安全事务的1,000名IT专业人士开展了一项调查。受访者包括开发人员、AppSec专业人员、DevOps工程师、CISO以及在技术、网 的人员 关于DevOps和DevSecOps 加速开发、持续交付、管道弹性、可扩展性和端到端透明度是实现DevOps的关键原则。满足这些标准需要开发、安全和运维人员共同努力。 DevSecOps是DevOps方法论的延伸，旨在向多个团队灌输安全文化，并且尽早在DevOps环境中通过一致的方式来 大遍多感数到受不访满者表示，他们对自己使用的AST工具普 35% 暴工露具程不度能、根可据利漏用洞性的和 34% 应因快速速度的太发慢布而周无期法/适持 2023年DevSecOps现状调查经验教训 受访者特征附录 络安全和应用/软件开发领域担任各种职务的专家。受访者 来自美国、英国、法国、芬兰、德国、中国、新加坡和日本。 所有的受访者都有资格参与调查，与其所属行业和公司规模无关。开发本次调查面临的挑战之一是“DevSecOps”一词涵盖了多个学科，其中许多学科都有自己独特的角色。本次调查希望覆盖不同专业背景的人士，既包括“直接”编写代码的开发者，也包括从事软件安全相关工作的CISO级别 解决安全问题。通过将安全实践集成到软件开发生命周期 (SDLC)和CI管道中，DevSecOps旨在将安全性从一个独立的阶段转变为开发生命周期的一部分。 DevSecOps在涉及软件开发的各个组织中都广受欢迎。SANS《2023年DevSecOps现状调查》显示，DevSecOps已经成为一种重要的业务实践和风险管理方法。但在过去，当安全团队和开发团队试图把安全性纳入他们的流程时，经常会有不同意见，这很大程度上是因为这种做法会把传统的应用安全测试(AST)工具引入软件开发生命周期(SDLC)。开发者经常抱怨AST工具太复杂、难以学习、性能低下以及产生大量“噪音”，这些都会给DevOps带来“摩擦”⸺也就是，那些在软件开发过程中阻止开发人员轻松快速构建代码的各种东西。 严重程度顺来序确定修复 33% 性价比低 续部署 33% 不准确/不可靠 2023年DevSecOps现状调查 关于Synopsys《2023年 概述 D关e于vSecOps现和状调查》报告 自动化的好处 DevOps的核心原则是在SDLC的每个阶段都自动执行手动流程。对任何组织而言，自动化都是通过持续集成或持续部 一致性 自动测试可确保对每一次的构建和部署一致地进行安全检查。手动测试可能会导致测试过程和覆盖范围不一致。 DevOps 自动化的好处 DevSecOps 署来加速开发和交付代码的基本前提。 可扩展性 A增S长OC/ASPM在DevSecOps中的应用日益 S状y调no查ps》y的s《主20要23发年现DevSecOps现 2023年DevSecOps现状调查经验教训 受访者特征附录 成功的DevSecOps需要集成和自动化的相互作用，以及标准和策略的指导。这样，既能让安全团队相信安全利益得到了保障，又能让DevOps团队保持工作状态，相信不会发生管道中断的情况。 与手动测试不同，自动安全测试可以快速一致地执行，使开发人员能够在开发过程的早期阶段发现问题，不会影响到交付进度或工作效率。 随着软件复杂性的增长，手工测试将变得不切实际。自动测试容易扩展，以便跨越不同组件进行大量测试。 持续集成和持续部署(CI/CD) 自动测试在CI/CD管道中至关重要，因为这些管道中会发生快速而频繁的代码变更。自动测试可以快速验证变更，防止错误代码进入生产环境。 持续改进 自动测试提供数据和洞察，可以帮助开发和安全团队随时间的推移改进安全实践，允许他们系统地分析和处理漏洞模式。 记录 自动测试可以记录整个测试过程，从而更容易跟踪和审计安全措施与合规要求。 减少人为错误 由于疲劳或疏忽，手动测试容易出错。自动测试遵循预定义的脚本，能够降低人为错误的风险。 节省时间和成本 在开发过程的后期或生产过程中识别和修复安全问题既耗时又昂贵。自动测试可将这些费用降至最低。 改进开发者体验 自动的应用安全测试允许开发者采取主动的、全面的、有助于学习和提高安全知识和技能的方式来解决安全问题，从而增强开发者体验，最终提高软件安全性并提升整个开发过程的效率。. 2023年DevSecOps现状调查 概述 D关e于vSecOps现状调查》报告 关于Synopsys《2023年 DevOps和DevSecOps 自动化的好处 A增S长OC/ASPM在DevSecOps中的应用日益 S状y调no查ps》y的s《主20要23发年现DevSecOps现 2023年DevSecOps现状调查经验教训 受访者特征附录 A益S增OC长/ASPM在DevSecOps中的应用日 本报告对处于DevSecOps不同成熟阶段的组织进行了考察，包括他们的特征，以及他们采用的安全工具/实践。我们将根据调查结果为其提供指导性建议，帮助他们进一步提高软件安全的成熟度。 有趣的是，从调查结果中可以看出，应用安全编排与关联(ASOC)—现在一般称为“应用安全态势管理”(ASPM)—的使用越来越普遍。根据Gartner的说法，对于使用多种开发和安全工具的任何组织而言，ASPM都应该是优先考虑的重要事项。 从开发到部署，ASPM解决方案能够持续管理各种应用风险，包括安全问题的检测、关联和优先级排序。ASPM工 具可以从多个来源获取数据，然后关联并分析它们，以实现更轻松的解释、分类和补救。 ASPM还充当安全工具的管理和编排层，支持安全策略的控制与实施。ASPM拥有应用程序安全结果的综合视角，从而提供了整个应用程序或系统的安全与风险状态的完整视图。 鉴于这1,000名受访者中的大多数人都对其正在使用的AST工具普遍感到不满—抱怨这些工具无法根据业务需求确定修复的优先级(35%)，也无法合并/关联数据来帮助解决问题(29%)—因此，ASOC/ASPM的使用呈现快速增 长趋势也在情理之中。 28% ASOC工具 28%的织受使访用者了表示，他们的组 2023年DevSecOps现状调查 概述 S状y调no查ps》y的s《主20要23发年现DevSecOps现 2023年DevSecOps现状调查经验教训 受访者特征附录 S调y查no》p的sy主s《要20发23现年DevSecOps现状 大多数DevOps团队都在某种程度上采用了 DevSecOps 共有91%的受访者表示，他们已将开展DevSecOps活动的某些安全措施纳入到了软件开发管道中。可以肯定地说，采用DevSecOps方法论现已成为软件开发的一部分。 拥有更成熟的安全计划的组织有专人负责安全事务 29%的受访者表示，他们拥有跨职能部门的DevSecOps团队—由开发、安全和运维部门成员构成的协作团队，这是安全计划取得成功的重要因素。专注于安全、与开发人员/软件工程师和/或QA和测试合作的人员可能处于拥有成熟安全计划的组织中安全测试的第一线。 有效实施DevSecOps存在许多障碍 超过33%的受访者指出，缺乏安全培训是主要障碍。紧随其后的是安全人员短缺(31%)、开发/运维工作缺乏透明性(31%)以及优先事项的不断变化(30%)。 超过三分之一的受访者表示，将自动安全测试集成到构建/部署工作流中是安全计划取得成功的关键 其他的主要成功因素还包括通过基础架构即代码来执行安全/合规策略，在开发和运维团队中培养安全支持者(securitychampions)，以及加强开发、运维和安全团队之间的沟通等。 在SDLC后期处理重大漏洞，会极大地削弱收益 超过80%的受访者表示，2022-2023年间，已部署软件中的重大漏洞/安全问题以某种形式影响了他们的工作进度。 28%的受访者表示，他们的组织需要长达三周的时间来修补已部署应用程序中的重大安全风险/漏洞；另有20%的受访者表示，这可能需要一个月的时间 考虑到现在的漏洞利用速度比以往任何时候都要快，这些数字尤其令人感到不安。最新研究表明超过一半的漏洞在披露后的一周内即被利用。 超过洞70%的受访陷者是表一示种，有通用过的自安动全扫措描施代，码来查的找受 34% 访者认为自动AST“非常有用” 对代码进行安全漏洞和其他缺陷的自动化扫描，在“工具/流程的有用性”类别中排名第一，紧随其后的是“在SDLC的需求挖掘阶段明确安全需求”以及“通过BSIMM和SAMM等模型对软件安全计划进行正式评估”。 几不乎符所有的受访者都认为AST工具与其业务需求 在1,000名受访者中，大多数人都认为AST工具存在各种各样的问题是他们面临的主要挑战，包括这些工具无法根据业务需求对修复措施进行优先级排序(35%)，也无法合并/关联数据来帮助解决问题(29%)。 问题AI，但超过四分之三的人担心AI的使用 5中2积%的极安使全用专业人员已经开始在DevSecOps活动 调查结果表明，安全团队正在积极使用AI、机器学习、自然语言处理和神经网络。然而，随着生成式AI工具（如AI驱动的编码建议）的使用日益增多，引发了围绕AI所生成代码的一系列知识产权、版权和许可问题，某些情况下甚至引起了诉讼。 2023年DevSecOps现状调查 概述 S状y调no查ps》y的s《主20要23发年现DevSecOps现2023年DevSecOps现状调查 DevSecOps部署 安全实践的实施代表更高级别的成熟度 2023年DevSecOps现状调查 DevSecOps部署 在1,000名受访者中，超过三分之一的受访者认为其安全计划已经达到了成熟度的第三级，即整个组织的安全流程都是文档化的、可重复的和标准化的。另有25%的受访者认为其安全计划已经达到了第四级，即安全流程也被记录，同时 图A您认为贵组织当前的软件安全项目/计划的成熟度处于哪一级？ 第一级：安全流程是非结构化的/无组织的。 第二级：安全流程是文档化的，并且对于特定的团队是可重复的。 第三级：第二级所述流程和程序在整个组织中是标准化的。积极主动的安全文化得到了领导层的认可和宣传。 8.5% 24.1% 评估安全计划 取得成功的重要 还被监控和评估。 34.3% 跨性职能团队对DevSecOps 手动和自动测试相结合，以取得最佳结果关键绩效指标 您正在使用哪些AST工具？它们有用吗？ AI的承诺和陷阱 何作时进进度行有测何试影？响何？时打补丁？这对我们的工有效DevSecOps面临的挑战 经验教训受访者特征附录 共有91%的受访者表示，他们已将某种类型的DevSecOps活动应用到软件开发管道中，采用DevSecOps似乎已成为DevOps的既定组成部分。 第四级：安全流程和控制是有记录的、被管理和监控的。 第五级：安全流程是持续分析和改进的。 24.5% 8.5% 2023年DevSecOps现状调查 概述 S状y调no查ps》y的s《主20要23发年现DevSecOps现2023年DevSecOps现状调查 DevSecOps部署 安全实践的实施代表更高级别的成熟度评估安全计划 跨性职能团队对DevSecOps取得成功的重要手动和自动测试相结合，以取得最佳结果关键绩效指标 您正在使用哪些AST工具？它们有用吗？ 安全实践的实施代