新思科技《
2020
年devsecops
實踐和開源管理報告》發布,
40%受訪者表示為解決開源漏洞而拖慢了交付計畫
devsecops是在業界逐步普及的理念。從雲計算到雲原生,再到devops,每一次理念的轉變都可能意味著開發流程的迭代。而安全是重要的基石,無論如何變革,都不容忽視。在不影響安全的情況下保持速度,將安全功能融入各個階段。這種功能就是 devsecops。
新思科技(synopsys, inc.,nasdaq:
snps)宣布發布《2023年devsecops實踐和開源管理報告》。該報告由新思科技網路安全研究中心(cyrc)總結製作,採訪了1,500名從事網路安全、軟體開發、軟體工程和web開發的it專業人員。該報告**了全球企業用於解決開源漏洞管理的策略以及日益嚴重的商業**中過時或棄用的開源元件問題。
開源在當今的軟體生態系統中扮演著至關重要的角色。絕大多數現代**庫都包含開源元件,開源通常佔整個**的70%或更多。然而,開源使用增長的同時,不受管理的開源帶來的安全風險日益嚴重。實際上,《2023年開源安全和風險分析》報告(ossra)指出經過新思科技審計的**庫中,75%包含具有已知安全漏洞的開源元件。為了應對這種情況,受訪者在審查新的開源**元件時將識別已知的安全漏洞作為首要標準。
新思科技網路安全研究中心首席安全策略師tim mackey表示:「很明顯,未修補的漏洞是造成開發人員困擾以及最終導致業務風險的主要原因。《2023年devsecops實踐和開源管理報告》強調了企業如何竭力有效地追蹤和管理其開源風險。」
tim mackey接著說:「超過一半(51%)的受訪者表示他們需要兩至三周的時間來應用開源補丁,這可能與以下的情況有關係,僅僅38%的受訪者使用自動的軟體元件分析(sca)工具來確定使用了哪些開源元件以及何時發布更新。其餘的組織可能採用手動的操作流程來管理開源,這些可能會拖慢開發和運營團隊的速度,迫使他們在平均每天發布數十個新的安全披露的環境下來追趕安全。」
《2023年devsecops實踐和開源管理報告》中值得注意的其他要點包括:
新思科技 開源風險控制仍需加強
作者 新思科技高階內容策略師 fred bals 開源是軟體設計各個開發階段越來越受歡迎的選擇。這是有道理的。開源具有諸多優勢,例如靈活性 成本效益和共享維護成本。但是,我們需要加強開源漏洞監控,並針對許可問題進行研究。新思科技的黑鴨審計服務團隊每年為其客戶進行數千個 庫的開源審計。這些審計需求主 ...
新思科技指導如何在遠端辦公環境中進行合規審計培訓
但是即使在形勢不明朗的時期,保持敏銳以及對安全知識 計畫和響應的追蹤仍是企業的責任。企業的安全團隊必須以新的方式為這些審計做準備。現在許多都進行遠端管理,團隊必須意識到潛在的缺陷和風險。某些審計活動可能會疏忽了一些漏洞風險,在報告中予以通過 但是對於企業的安全性而言,風險不會因為報告通過而消失。因為...
花旗報告顯示澳洲女富豪可能超蓋茨成為新首富
花旗集團的最新報告顯示,去年澳大利亞最富有的人,gina rinehart,很有可能在不遠的將來成為世界上最有錢的人。這份報告評估了世界上400已經有規劃,但是還沒有實際開採的資源類專案。bhp billiton,rio tinto,xstrata and anglo american排名前五,gi...