欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

新思科技發(fā)布最新軟件供應鏈安全調(diào)研報告

--分析可擴展且以開發(fā)者為中心的供應鏈安全解決方案

2022-09-05 16:35:55   作者:   來源:CTI論壇   評論:0  點擊:


  現(xiàn)代應用開發(fā)提升了速度,也加劇了安全風險。開發(fā)人員需要將安全納入到開發(fā)流程。尤其是云原生網(wǎng)絡安全威脅形勢越來越嚴峻,安全必須在不中斷運行的情況下融入到開發(fā)流程中。
  新思科技(Synopsys, Nasdaq: SNPS)發(fā)布最新供應鏈安全調(diào)研報告。該報告由新思科技軟件質(zhì)量與安全部門委托技術(shù)研究公司Enterprise Strategy Group(ESG)執(zhí)行,面向350名應用開發(fā)、信息技術(shù)和網(wǎng)絡安全決策者進行調(diào)研。該報告名為《一往無前:GitOps與安全左移 - 可擴展且以開發(fā)者為中心的供應鏈安全解決方案》(Walking the Line: GitOps and Shift Left Security: Scalable, Developer-centric Supply Chain Security Solutions),其指出軟件供應鏈風險不限于開源范圍。
  針對 Log4Shell、SolarWinds 和Kaseya 等軟件供應鏈攻擊,73%的受訪者表示,他們已通過各種安全舉措顯著加大了對企業(yè)軟件供應鏈的保護力度。這些舉措包括采用強大的多因素身份驗證技術(shù) (33%);投資應用安全測試措施(32%); 以及改進資產(chǎn)發(fā)現(xiàn)流程以更新攻擊面清單 (30%)。盡管做出了這些努力,但仍有 34%的企業(yè)指出,他們的應用在過去 12 個月內(nèi)因開源軟件(OSS)中的已知漏洞而被利用,其中28%的企業(yè)在開源軟件中發(fā)現(xiàn)之前未知的漏洞("零日"漏洞利用攻擊)。
  隨著使用規(guī)模增加,開源軟件在應用程序中的存在自然也會增加。當前,軟件物料清單 (SBOM)是解決軟件供應鏈風險管理燃眉之急的重要途經(jīng)。開源軟件使用量激增,而開源管理乏善可陳,這使得制作SBOM變得復雜。ESG公司研究也證實了這一點: 39%的受訪者將SBOM標記為使用開源軟件的挑戰(zhàn)。
  新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示:"近年來,供應鏈安全漏洞、攻擊的新聞頻發(fā)。企業(yè)意識到這對他們的業(yè)務會產(chǎn)生潛在的負面影響。采取主動安全策略已經(jīng)成為企業(yè)的當務之急。雖然管理開源風險是管理云原生應用中軟件供應鏈風險的關(guān)鍵組成部分,但我們還必須認識到風險是超出了開源組件范圍的;A(chǔ)設(shè)施即代碼、容器、API、代碼存儲庫等,不勝枚舉。企業(yè)必須考慮所有因素,以進行全面部署,確保軟件供應鏈安全。"
  雖然開源軟件可能是最初的供應鏈安全關(guān)注點,但向云原生應用開發(fā)的轉(zhuǎn)變讓企業(yè)擔心對供應鏈的其它環(huán)節(jié)會構(gòu)成的風險。這不僅包括源代碼,還包括云原生應用如何存儲、打包和部署,以及它們?nèi)绾瓮ㄟ^應用程序編程接口 (API) 互聯(lián)。近一半 (45%) 的受訪者認為API以及數(shù)據(jù)存儲庫 (42%) 和應用容器鏡像 (34%)是最容易受到攻擊的載體。
  幾乎所有(99%)的受訪者表示,他們的企業(yè)目前使用或計劃在未來12個月內(nèi)使用開源軟件。盡管對這些開源項目的維護、安全性和可信性存在擔憂,但最受關(guān)注的問題與在應用開發(fā)中使用開源的規(guī)模有關(guān)。 54%的企業(yè)將"擁有高比例的開源應用代碼"列為他們的主要關(guān)注點。
  新思科技網(wǎng)絡安全研究中心首席安全策略師Tim Mackey表示:"憑借SBOM,軟件運營商可以了解應用中包含哪些第三方軟件生產(chǎn)商,無論是來自開源、商業(yè)還是簽約的第三方。在設(shè)計補丁管理流程時,這些信息至關(guān)重要。因為沒有這些信息,對任何應用中存在的軟件風險的觀察都不全面,無論其來源如何。有了這些信息,一旦 Log4Shell 出現(xiàn)下一個零日漏洞(這會發(fā)生),企業(yè)將能夠快速有效地采取行動,抵御針對第三方軟件組件的攻擊。"
  調(diào)查結(jié)果還表明,盡管越來越多構(gòu)建云原生應用的企業(yè)采取以開發(fā)人員為中心的安全策略和安全"左移"(一個專注于使開發(fā)人員能夠在開發(fā)生命周期早期進行安全測試的概念),但 97% 的企業(yè)在過去 12 個月內(nèi)遭遇過涉及其云原生應用的安全事件。
  更快的發(fā)布周期也給所有團隊帶來了安全挑戰(zhàn):應用開發(fā)(41%)和DevOps(45%)團隊允許開發(fā)人員經(jīng)常跳過已建立的安全流程;而且大多數(shù)應用開發(fā)人員(55%)允許安全團隊缺乏對開發(fā)流程的可見性。 68%的受訪者表示,他們高度重視采用以開發(fā)人員為中心的安全解決方案,并將部分安全責任轉(zhuǎn)移給開發(fā)人員。目前負責應用安全測試的開發(fā)人員 (45%)多于安全團隊 (40%)。開發(fā)人員使用內(nèi)部開發(fā)或開源安全工具的可能性是專門的第三方供應商的兩倍。
  與此同時,開發(fā)人員在保護云原生應用的軟件供應鏈方面發(fā)揮著更大的作用,但只有36%的安全團隊完全接受由開發(fā)團隊負責安全測試。諸如使開發(fā)團隊負擔過重的額外工具和責任、破壞創(chuàng)新和速度以及獲得對安全工作的監(jiān)督權(quán)等問題仍然是開發(fā)人員主導的應用安全工作的最大障礙。
  點擊這里下載報告《一往無前:GitOps與安全左移 - 可擴展且以開發(fā)者為中心的供應鏈安全解決方案》。
https://www.synopsys.com/zh-cn/software-integrity/resources/analyst-reports/gitops-and-shift-left-security.html?cmp=pr-sig&utm_medium=referral
 
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)