JFrog與IDC合作研究顯示：開發(fā)人員在軟件安全方面耗時日益增加，影響企業(yè)競爭優(yōu)勢

流式軟件公司、JFrog 軟件供應鏈平臺的締造者JFrog近日發(fā)布的一項 IDC 調查結果顯示，開發(fā)人員在安全相關任務（如手動應用程序掃描審查、上下文切換和機密信息檢測等項目）上的耗時顯著增加，企業(yè)每年為每位開發(fā)人員在此類任務上的投入高達2.8萬美元。由 JFrog 贊助的 IDC信息簡報《DevSecOps 的隱性成本：開發(fā)人員的時間評估 》顯示，50% 的高級開發(fā)人員、團隊領導、產(chǎn)品負責人和開發(fā)經(jīng)理每周花費在軟件安全相關任務上的時間顯著增加，這影響了他們創(chuàng)新、構建和交付新業(yè)務應用程序的能力。

JFrog Security首席技術官Asaf Karas表示：“在確保軟件供應鏈安全方面，企業(yè)本就已經(jīng)面臨巨大的挑戰(zhàn)，如果還要使用多種工具，情況就會變得更加復雜，迫使開發(fā)人員在多個線上工作環(huán)境之間頻繁切換，從而降低工作效率，在增加時間成本的同時也導致風險增加。IDC的調查為企業(yè)投資于更精簡的安全流程、工具和培訓提供了有力的論據(jù)，這些投資將有助于其開發(fā)人員更高效、更有力地保護軟件供應鏈?！?/p>

調查報告中，半數(shù)受訪對象表示，他們每周約有19% 的時間用于處理安全相關任務，而且很多時候是在正常工作時間之外，這就可能會導致他們對軟件安全采取被動而非主動的舉措。IDC 調查的其他主要發(fā)現(xiàn)包括：

●   追影逐跡：消除誤報： 開發(fā)人員平均花費3.5小時手動審查安全掃描結果，以排除誤報和重復項。

●   上下文至關重要： 69% 的開發(fā)人員同意或非常同意，他們的安全相關職責要求他們在各種工具之間頻繁切換上下文，從而降低了工作效率。而由于需要繞過每個工具平臺的重新驗證，多工具上下文切換也會增加令牌的使用。令牌對應用程序開發(fā)很有幫助，但也可能被遺忘在工作流中，從而在公司的系統(tǒng)中留下可供攻擊者利用的安全隱患。

●   密鑰管理絕非易事：開發(fā)人員將 50% 的時間用于解析密鑰掃描結果、修改代碼以修復發(fā)現(xiàn)的問題，以及更新密鑰管理措施。

●   基礎設施調查：基礎設施即代碼（IaC）用于自動配置和管理服務器、網(wǎng)絡、操作系統(tǒng)和存儲等 IT 基礎設施，須在每次代碼更改時對其進行掃描，超過 54% 的開發(fā)人員表示他們每周或每月運行一次 IaC 掃描。

●   SAST并非萬無一失：盡管靜態(tài)應用安全測試（SAST）工具已被集成到本地開發(fā)環(huán)境中，可在開發(fā)人員編寫代碼時提供測試結果，但只有 23% 的開發(fā)人員在將代碼部署到生產(chǎn)環(huán)境之前運行 SAST 掃描，這就為惡意代碼的潛入留下了巨大的隱患。

IDC DevSecOps和軟件供應鏈安全研究經(jīng)理Katie Norton表示：“DevSecOps 不僅是企業(yè)的當務之急，也是構建未來安全應用程序的基石。然而，如何克服那些效率低下、應用不當?shù)墓ぞ邘淼奶魬?zhàn)，避免它們耗費開發(fā)人員的時間并增加成本，是行業(yè)面臨的一大難題。要想取得成功，IT 和軟件開發(fā)團隊的領導者必須將重復耗時的任務自動化，確保 DevSecOps 工具能以極低的誤報率實現(xiàn)精準交付，并為開發(fā)人員提供持續(xù)的應用安全教育和資源，使其能夠時刻關注日益嚴峻的威脅態(tài)勢?！?/p>

IDC 信息簡報的調查對向包括來自美國、英國、法國和德國的20多家員工規(guī)模在千人以上的公司的高級開發(fā)人員、團隊管理者、產(chǎn)品負責人和開發(fā)經(jīng)理。