全球观速讯丨新思科技发布最新软件供应链安全调研报告

2022-09-07 08:52:01   来源:商业新知网

随着企业开始采用现代软件开发流程,开发人员可以通过将应用部署到云端而快速开发和发布应用。这给安全团队带来了挑战,要求他们必须跟上持续集成/持续部署(CI/CD)周期及其动态组件的增长和速度。业界需要洞察哪些类型的解决方案能够最有效地保护软件,同时又不会减慢开发流程。

新思科技(Synopsys,Nasdaq:SNPS)发布最新供应链安全调研报告。该报告由新思科技软件质量与安全部门委托技术研究公司Enterprise Strategy Group(ESG)执行,面向350名应用开发、信息技术和网络安全决策者进行调研。该报告名为《一往无前:GitOps与安全左移- 可扩展且以开发者为中心的供应链安全解决方案》(Walking the Line: GitOps and Shift Left Security: Scalable, Developer-centric Supply Chain Security Solutions),其指出软件供应链风险不限于开源范围。

针对Log4Shell、SolarWinds 和Kaseya 等软件供应链攻击,73%的受访者表示,他们已通过各种安全举措显著加大了对企业软件供应链的保护力度。这些举措包括采用强大的多因素身份验证技术(33%);投资应用安全测试措施(32%);以及改进资产发现流程以更新攻击面清单(30%)。尽管做出了这些努力,但仍有34%的企业指出,他们的应用在过去12 个月内因开源软件(OSS)中的已知漏洞而被利用,其中28%的企业在开源软件中发现之前未知的漏洞(“零日”漏洞利用攻击)。


(相关资料图)

随着使用规模增加,开源软件在应用程序中的存在自然也会增加。当前,软件物料清单(SBOM)是解决软件供应链风险管理燃眉之急的重要途经。开源软件使用量激增,而开源管理乏善可陈,这使得制作SBOM变得复杂。ESG公司研究也证实了这一点:39%的受访者将SBOM标记为使用开源软件的挑战。

新思科技软件质量与安全部门总经理Jason Schmitt表示:“近年来,供应链安全漏洞、攻击的新闻频发。企业意识到这对他们的业务会产生潜在的负面影响。采取主动安全策略已经成为企业的当务之急。虽然管理开源风险是管理云原生应用中软件供应链风险的关键组成部分,但我们还必须认识到风险是超出了开源组件范围的。基础设施即代码、容器、API、代码存储库等,不胜枚举。企业必须考虑所有因素,以进行全面部署,确保软件供应链安全。”

虽然开源软件可能是最初的供应链安全关注点,但向云原生应用开发的转变让企业担心对供应链的其它环节会构成的风险。这不仅包括源代码,还包括云原生应用如何存储、打包和部署,以及它们如何通过应用程序编程接口(API) 互联。近一半(45%) 的受访者认为API以及数据存储库(42%) 和应用容器镜像(34%)是最容易受到攻击的载体。

几乎所有(99%)的受访者表示,他们的企业目前使用或计划在未来12个月内使用开源软件。尽管对这些开源项目的维护、安全性和可信性存在担忧,但最受关注的问题与在应用开发中使用开源的规模有关。54%的企业将“拥有高比例的开源应用代码”列为他们的主要关注点。

新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“凭借SBOM,软件运营商可以了解应用中包含哪些第三方软件生产商,无论是来自开源、商业还是签约的第三方。在设计补丁管理流程时,这些信息至关重要。因为没有这些信息,对任何应用中存在的软件风险的观察都不全面,无论其来源如何。有了这些信息,一旦Log4Shell 出现下一个零日漏洞(这会发生),企业将能够快速有效地采取行动,抵御针对第三方软件组件的攻击。”

调查结果还表明,尽管越来越多构建云原生应用的企业采取以开发人员为中心的安全策略和安全“左移”(一个专注于使开发人员能够在开发生命周期早期进行安全测试的概念),但97% 的企业在过去12 个月内遭遇过涉及其云原生应用的安全事件。

更快的发布周期也给所有团队带来了安全挑战:应用开发(41%)和DevOps(45%)团队允许开发人员经常跳过已建立的安全流程;而且大多数应用开发人员(55%)允许安全团队缺乏对开发流程的可见性。68%的受访者表示,他们高度重视采用以开发人员为中心的安全解决方案,并将部分安全责任转移给开发人员。目前负责应用安全测试的开发人员(45%)多于安全团队(40%)。开发人员使用内部开发或开源安全工具的可能性是专门的第三方供应商的两倍。

与此同时,开发人员在保护云原生应用的软件供应链方面发挥着更大的作用,但只有36%的安全团队完全接受由开发团队负责安全测试。诸如使开发团队负担过重的额外工具和责任、破坏创新和速度以及获得对安全工作的监督权等问题仍然是开发人员主导的应用安全工作的最大障碍。

关键词: 开发人员 为中心的

上一篇:
下一篇:
精彩阅读

全球观速讯丨新思科技发布最新软件供应链安全调研报告

热点

随着企业开始采用现代软件开发流程,开发人员可以通过将应用部署到云端而快速开发和发布应用。

天天百事通!2022世界人工智能大会“AI商业落地论坛”圆满落幕

热点

亿欧主办的2022世界人工智能大会“AI商业落地论坛”成功举办。

环球微速讯:祝贺中国邮政集团数据中台一期上线,成为国内首家以数据服务为核心的央企数据中台

热点

数据是信息技术应用创新的基础,没有安全、高质量的数据,数字化转型将无法有序开展。

视点!CCSA闻库建言数据中心产业发展:完善标准、贴合场景、降低门槛

热点

闻库指出,数据中心是算力的物理承载,是数字化发展的关键基础设施。

全球即时:中国通信测试仪表市场规模及市场格局分析

热点

通信测试仪器仪表包括综测仪、示波器、频谱分析仪、信号源、网络分析仪等产品。

全球关注:参加展会,展台搭建中的花样误区有哪些?

热点

有些参展的客户会有这样的感觉:看效果图很漂亮,到了布展期间各种花样坑出现,让展台效果大打折扣。

天天观天下!ICLR Spotlight|Facebook提出无损INT8优化器,单机可以跑千亿参数模型了??

热点

2018年GPT、BERT预训练模型的提出吹响了大模型“军备竞赛”冲锋的号角,一场大模型的狂欢拉开帷幕。

环球热资讯!IPO AI独角兽第四范式第三次递表港交所主板拟上市

热点

AI独角兽第四范式第三次递表港交所主板拟上市。

天天观焦点:AI自动匹配住宅立面,应用落地近在咫尺!

热点

它的面世意味着每一位建筑师都可以使用SU一般的操作体验,来定制属于自己的设计逻辑。

环球观天下!国内各城市元宇宙产业园盘点

热点

自2021年下半年开始,国内各省市密集出台了一系列元宇宙产业扶持政策。

财富

世界通讯!GGV和贝恩下注,实时数据分析平台StarTree完成4700万美元B轮融资丨海外邦

资讯

GGV和贝恩下注,实时数据分析平台StarTree完成4700万美元B轮融资丨海外邦,作为一个实时在线数据存储和分析系统,可方便研究人员进行实时数据分析。

【环球新要闻】张一鸣要抢李彦宏饭碗了?

资讯

张一鸣要抢李彦宏饭碗了?,为什么大厂都想做搜索?

每日快看:狂热的旧衣回收行业:投入1万多,8个月赚30万

资讯

狂热的旧衣回收行业:投入1万多,8个月赚30万,被你扔掉的旧衣,是创业商机,还是“割韭菜”的镰刀?

【独家】交个朋友VS东方甄选,该押谁胜?

资讯

交个朋友VS东方甄选,该押谁胜?,各自光环能持续多久?

全球速讯:口碑两极分化,预制菜品牌最该做好这件事

资讯

口碑两极分化,预制菜品牌最该做好这件事,消费者需要教育吗?

环球消息!做电商的00后,开店赚到钱了吗?

资讯

做电商的00后,开店赚到钱了吗?,相关数据显示,淘宝上90后00后商家数合计400万,其中,00后商家数已经接近100万。但这群00后淘宝店主们,经历

世界观天下!融资丨「龙门局渣打点心」完成500万天使轮融资,黑石资本领投

资讯

融资丨「龙门局渣打点心」完成500万天使轮融资,黑石资本领投,一方面龙门局会继续加大线上渠道投入,另一方面也在和线下商超、便利店渠道对接

天天快资讯丨融资丨「好朋友科技」完成近亿元B轮融资,金沙江联合资本投资

资讯

融资丨「好朋友科技」完成近亿元B轮融资,金沙江联合资本投资,资金主要用于新产品研发、提高客户服务能力,推进在新行业智选生态建设和新基地

快看:融资丨「芯翌科技」完成新一轮融资,浙普(上海)创投和汇信恒睿创投联合投资

资讯

融资丨「芯翌科技」完成新一轮融资,浙普(上海)创投和汇信恒睿创投联合投资,融资资金将用于加强视频数据治理相关产品的技术研发以及平台规模

每日热文:融资丨「明灏科技」完成数千万元Pre-A轮融资,梅花创投独家投资

资讯

融资丨「明灏科技」完成数千万元Pre-A轮融资,梅花创投独家投资,本轮融资主要用于产能扩充、市场推广、技术研发和海外市场拓展等方面。

天天百事通!2022世界人工智能大会“AI商业落地论坛”圆满落幕

亿欧主办的2022世界人工智能大会“AI商业落地论坛”成功举办。

环球微速讯:祝贺中国邮政集团数据中台一期上线,成为国内首家以数据服务为核心的央企数据中台

数据是信息技术应用创新的基础,没有安全、高质量的数据,数字化转型将无法有序开展。

视点!CCSA闻库建言数据中心产业发展:完善标准、贴合场景、降低门槛

闻库指出,数据中心是算力的物理承载,是数字化发展的关键基础设施。

全球即时:中国通信测试仪表市场规模及市场格局分析

通信测试仪器仪表包括综测仪、示波器、频谱分析仪、信号源、网络分析仪等产品。

全球关注:参加展会,展台搭建中的花样误区有哪些?

有些参展的客户会有这样的感觉:看效果图很漂亮,到了布展期间各种花样坑出现,让展台效果大打折扣。

微软正为Windows12开发新驱动框架 提升新老显卡性能

Windows 12系统可能会在2024年到来,按照正常的节奏,其开发工作应该早已秘密进行。日前,有开发者从Windows 11最新预览版Build 25188中

华盛顿地铁站首次亮相为视障人士扩展旅行路线

5月25日消息,一款旨在帮助视障人士或盲人行人使用公共交通工具的应用程序在华盛顿地铁站首次亮相。该应用程序名为Waymap,旨在为盲人和视

2022年情况又要变了!华硕高管:今年PC恐怕要供过于求

这两年来,由于疫情导致的居家办公及远程教育需求爆发,一直在下跌的PC市场枯木逢春,2021年更是创下了2012年以来的最快增长,然而2022年情

垃圾佬的心头好!西数新款固态盘SN740曝光

对于DIY垃圾佬来说,散片、拆机件、工包……这些名词怕是并不陌生。本周,西数推出了主要供应OEM厂商的新款固态盘SN740。SN740升级到了第五

虚假宣传、误导消费者 倍至冲牙器关联公司被处罚

后来者要想在激烈的市场竞争中立足,如果可以背靠巨头享受大树底下好乘凉的红利,那自然是皆大欢喜,没有这个福气,也大可凭借自己一步一个

吉利几何EX3功夫牛高居榜首,4月投诉量230起

近日,车质网发布了2022年4月车型投诉排行八卦(前30名),其中有不少产品的出现属实让人没想到。具体来看,吉利几何EX3功夫牛高居榜首,4月