全球 DevSecOps 状态 2023

全球DevSecOps状态2023 影响软件安全的策略、工具和实践 Overview 关于Synopsys2023DevSecOps关于DevOps和 DevSecOps的报告自动化的好处 在DevSecOps中越来越多地使用ASOC/ASPM Synopsys的主要发现 Overview 关于Synopsys2023DevSecOps报告 2023年初，Synopsys网络安全研究中心（CyRC）和国际市场研究咨询公司Censuswide对1,000IT进行了调查 在DevOps和DevSecOps上 实现DevOps的关键原则——加速开发、持续交付、管道弹性、可扩展性和端到端透明度——需要开发、安全和运营方面的贡献者共同努力。 DevOps方法的扩展，DevSecOps 大多数受访者表示他们对使用的AST工具普遍不满意 35% 34% Dev2023SecOps调查 2023年DevSecOps状况经验教训调查人口统计附录 将安全性确定为其角色或职责的一部分的专业人员。该小组包括 开发人员，AppSec专业人员，DevOps工程师，CISO，以及在技术，网络安全和应用程序/软件开发方面担任各种角色的专家。参与者来自美国，英国，法国，芬兰，德国 ，中国，新加坡和日本。 来自所有行业和所有公司规模的受访者都有资格参与。在进行调查时面临的挑战之一是，“DevSecOps”一词包含多个学科，其中许多学科具有独特的角色。目标是包括广泛的专业人员，包括编写代码的“动手”开发人员和CISO级别的人员，但针对的是那些工作涉及软件安全性某些方面的人员。 通过将安全实践集成到软件开发生命周期(SDLC)和CI管道中， DevSecOps旨在将安全性从单独的独立阶段转变为开发生命周期的一个组成部分。 DevSecOps在涉及软件开发的每个组织中都获得了显着的牵引力。根据SANS2023DevSecOps调查，DevSecOps现在显然被视为业务关键实践和风险管理问题。但是 从历史上看，安全和开发团队在尝试将安全性引入其流程时发现自己存在分歧，这通常是将遗留应用程序安全测试（AST）引入SDLC的结果。常见的抱怨包括AST工具的复杂性和高学习曲线，性能缓慢以及导致DevOps“摩擦”的“嘈杂”结果-也就是说，在软件创建过程中的任何事情都会阻止开发人员轻松快速地构建代码。 工具不会根据暴露、可利用性和关键性对分辨率进行优先级排序 33% 成本与ROI 太慢，无法适应快速发布周期/持续部署 33% 不准确/不可靠性 DevSecOps2023的状态 Overview 关于Synopsys2023DevSecOps关于DevOps和 DevSecOps的报告自动化的好处 在DevSecOps中越来越多地使用ASOC/ASPM Synopsys2023DevSecOps调查的主要发现 2023年DevSecOps状况经验教训调查人口统计附录 自动化的好处 DevOps的核心原则是在SDLC的每个阶段自动执行手动流程。在任何组织都可以实施持续集成或持续部署以更快地开发和交付代码之前，自动化是一项基本要求。 成功的DevSecOps需要集成和自动化的相互作用，并受标准和策略的约束。这允许安全团队相信安全利益正在被覆盖，并允许DevOps团队继续工作，并相信管道中不会出现不可预测的故障 。 与手动测试不同，自动安全测试可以快速一致地执行，允许开发人员在开发过程的早期识别问题，而不会影响交付时间表或生产力。 一致性 自动化测试确保安全检查一致地应用于每个构建和部署。手动测试可能导致测试程序和覆盖范围的变化。 可扩展性 随着软件复杂性的增加，手动测试变得不切实际。自动化测试可以轻松扩展以处理跨各种组件的大量测试。 持续集成和持续部署(CI/CD) 自动化测试在CI/CD管道中至关重要，因为在CI/CD管道中部署了快速且频繁的代码更改。自动化测试可以快速验证更改并防 止错误代码进入生产环境。 持续改进 自动化测试提供数据和见解，帮助团队随着时间的推移改进安全实践。可以系统地分析和解决漏洞模式。 文档 自动化测试记录测试过程，使跟踪和审核安全措施和合规性要求变得更加容易。 减少人为错误 手动测试由于疲劳或疏忽而容易出错。自动化测试遵循预定义的脚本，从而降低了人为错误的风险。 节省时间和成本 在开发过程后期或生产中识别和修复安全问题可能耗时且成本高昂。自动化测试可将这些费用降至最低。 改进的开发人员体验 自动化应用程序安全测试通过提供主动、集成和教育解决方案来解决安全问题，从而增强了开发人员的体验。这最终导致更安全 的软件和更高效的开发过程。 DevSecOps2023的状态 Overview 关于Synopsys2023DevSecOps关于DevOps和 DevSecOps的报告自动化的好处 在DevSecOps中越来越多地使用ASOC/ASPM Synopsys2023DevSecOps调查的主要发现 2023年DevSecOps状况经验教训调查人口统计附录 在DevSecOps中越来越多地使用ASOC/ASPM 本报告研究了组织在DevSecOps成熟度的各个阶段的特征以及组织使用的安全工具/实践。根据调查结果，我们为那些努力实现更高的安全成熟度的人提供了说明性建议。 发现中一个有趣的数据点是应用程序安全编排和关联(ASOC)的使用越来越多，现在更常见的称为应用程序安全状态管理(ASPM)。根据Gartner的说法，ASPM应该是任何使用多种开发和安全工具的组织的优先事项。 ASPM解决方案通过检测、关联和优先级排序来持续管理应用程序风险 28% 报告说，他们的组织使用了ASOC工具 从开发到部署的安全问题。ASPM工具从多个来源摄取数据，然后关联和分析发现，以便于解释、分类和补救。 ASPM还充当安全工具的管理和编排层，实现安全策略的控制和实施。并通过提供 作为应用程序安全性发现的综合视角，ASPM提供了整个应用程序或系统的安全性和风险状态的全面视图。 鉴于1,000名受访者中的大多数人对他们使用的AST工具普遍不满意 -批评包括这些工具没有根据业务需求优先考虑补救（35％），并且无法合并/关联结果以解决问题（29％）-难怪ASOC/ASPM的使用正在迅速增长。 DevSecOps2023的状态 Overview Synopsys2023DevSecOps调查的主要发现 2023年DevSecOps状况经验教训调查人口统计附录 Synopsys2023DevSecOps调查的主要发现 大多数DevOps团队都采用了某种程度的DevSecOps 总共91%的受访者表示，他们将DevSecOps活动的一些措施纳入了他们的软件开发管道。可以肯定地说，采用DevSecOps方法现在是软件开发的一个既定部分。 拥有更成熟安全计划的组织人员专注于安全 29%的受访者表示，跨职能的DevSecOps团队——一个来自开发 、安全和运营的协作小组——是安全计划成功的重要因素。 专注于安全的人员，与开发人员/软件工程师和/或QA和测试一起工作，可能会在具有成熟安全计划的组织中处于安全测试的前线。 有效实施DevSecOps存在许多障碍 超过33%的受访者指出安全培训不足是主要障碍。紧随其后的是安全人员短缺(31%)、开发/运营工作缺乏透明度(31%)以及优先级不断变化(30%)。 超过三分之一的受访者表示，将自动化安全测试集成到构建/ 部署工作流中是安全计划成功的关键 其他关键因素包括通过基础设施即代码实施安全/合规策略，在开发和运营团队中开发安全冠军，以及改善开发、运营和安全团队之间的通信。 在SDLC后期处理关键漏洞会极大地影响底线 超过80%的受访者表示，已部署软件中的关键漏洞/安全问题在2022-23年间以某种形式影响了他们的交付计划。 28%的受访者表示，他们的组织需要长达三周的时间来修补已部署应用程序中的关键安全风险/漏洞；另有20%的受访者表示，这可能需要长达一个月的时间 这些数字尤其令人不安，因为漏洞被利用的速度比以往任何时候都快。 最新研究表明，超过一半的报告漏洞在披露后的一周内被利用。 超过70％的人表示自动扫描代码以查找漏洞或编码缺陷是一种有用的安全措施，34％的人称自动AST“非常有用” 自动扫描安全漏洞和其他缺陷的代码导致了“工具/流程的有用性”类别，紧随其后的是“将安全要求定义为SDLC要求阶段的一部分”和“通过BSIMM和SAMM等模型对软件安全程序进行正式测量”。 几乎所有受访者都认为AST工具不符合他们的业务需求 在1000名受访者中，大多数人认为AST工具存在各种主要问题- 包括这些工具没有优先考虑基于补救的问题 满足业务需求(35%)，他们无法整合/关联结果以解决问题 (29%)。 52％的安全专业人员已经在其DevSecOps实践中积极使用AI ，但超过四分之三的人担心AI使用问题 调查结果表明，人工智能、机器学习、自然语言处理和神经网络正在被安全团队积极使用。然而，越来越多地使用生成人工智能工具，如人工智能编码建议，在某些情况下甚至引发了围绕人工智能生成代码的知识产权所有权、版权和许可的问题，甚至是诉讼。 DevSecOps2023的状态 Overview Synopsys2023DevSecOps调查的主要发现 2023年DevSecOps的状况 DevSecOps采用 安全实践的实施表明成熟度更高衡量安全计划 跨职能团队对DevSecOps成功的重要性结合手动和自动化测试以获得最佳结果关键绩效指标 使用哪些AST工具？它们有多有用？ 什么时候测试？什么时候修补？对我们的时间表有什么影响？ AI的有效DevSecOps承诺和陷阱面临的挑战 经验教训调查人口统计附录 2023年DevSecOps的状况 DevSecOps采用 在1,000名受访者中，超过三分之一的受访者将其安全计划描述为成熟的3级阶段，其中安全流程在整个组织中进行了记录，可重复和标准化。25%的受访者认为他们达到了4级，安全流程也进行了记录，监控和测量。 91％的受访者表示他们已经将某种类型的DevSecOps活动应用到他们的软件开发管道中，DevSecOps的采用似乎已经成为DevOps的一部分。 图A您如何最好地描述您当前的软件安全计划/计划的成熟度？ I级：安全流程是非结构化/无序的。 II级：安全过程是有记录的，并且对于特定的团队是可重复的。 三级：二级流程和程序在整个组织中标准化。领导层认可和传达了积极主动的安全文化。 四级：记录、管理和监控安全流程和控制。 第五级：持续分析和改进安全流程。 8.5% 24.1% 34.3% 24.5% 8.5% DevSecOps2023的状态 Overview Synopsys2023DevSecOps调查的主要发现 2023年DevSecOps的状况 DevSecOps采用 安全实践的实施表明成熟度更高衡量安全计划 安全实践的实施表明成熟度更高 在图B中可以看到DevSecOps成熟度的另一个度量，表明受访者已经采用了广泛的安全实践，从持续监控和测量（30％ ）到自动化测试（28％）。 358名受访者(35.1%)引用了领先的安全风险管理实践，涉及在开发过程的每个阶段整合安全考虑因素，以识别、评估和减轻与软件应用相关的潜在安全风险。 在SDLC中应用，整体安全风险管理需要 •测试。执行各种类型的安全测试，如SAST、动态应用程序安全测试(DAST)、SCA和渗透测试，以识别应用程序中的漏洞。 •部署。安全地配置应用程序将运行的环境。实现访问控制、网络安全以及适当的身份验证和授权机制。 •监测和测量。持续监控生产中的应用程序的安全事件和异常 。实施日志记录 和监控解决方案以检测和响应潜在的漏洞。3