2023年全球DevSecOps現(xiàn)狀調(diào)查-2023.11

2023年全球DevSecOps現(xiàn)狀調(diào)查影響軟件安全的策略、工具和實踐大多數(shù)受訪者表示，他們對自己使用的AST工具普遍感到不滿的人員概述概述關(guān)于Synopsys《2023年DevSecOps現(xiàn)狀調(diào)查》報告關(guān)于DevOps和DevSecOps關(guān)于DevOps和DevSecOps關(guān)于Synopsys《2023年DevSecOps現(xiàn)狀調(diào)查》報告加速開發(fā)、持續(xù)交付、管道彈性、可擴展性和端到端透明度是實現(xiàn)DevOps的關(guān)鍵原則。滿足這些標準需要開發(fā)、安全和運維人員共同努力。自動化的好處2023年初，Synopsys網(wǎng)絡(luò)安全研究中心(CyRC)聯(lián)合國際市場研究咨詢公司Censuswide，對負責安全事務(wù)的1,000名IT專業(yè)人士開展了一項調(diào)查。受訪者包括開發(fā)人員

、AppSec專業(yè)人員、DevOps工程師、CISO以及在技術(shù)、網(wǎng)/ASOC/ASPM在DevSecOps中的應(yīng)用日益35%34%增長DevSecOps是DevOps方法論的延伸，旨在向多個團隊灌輸安全文化，并且盡早在DevOps環(huán)境中通過一致的方式來解決安全問題。通過將安全實踐集成到軟件開發(fā)生命周期(SDLC)和CI管道中，DevSecOps旨在將安全性從一個獨立的階段轉(zhuǎn)變?yōu)殚_發(fā)生命周期的一部分。Synopsys《2023年DevSecOps現(xiàn)工具不能根據(jù)漏洞的暴露程度、可利用性和嚴重程度來確定修復(fù)順序因速度太慢而無法適應(yīng)快速的發(fā)布周期

持/狀調(diào)查》的主要發(fā)現(xiàn)絡(luò)安全和應(yīng)用

軟件開發(fā)領(lǐng)域擔任各種職務(wù)的專家。受訪者2023年DevSecOps現(xiàn)狀調(diào)查續(xù)部署來自美國、英國、法國、芬蘭、德國、中國、新加坡和日本。經(jīng)驗教訓(xùn)受訪者特征附錄所有的受訪者都有資格參與調(diào)查，與其所屬行業(yè)和公司規(guī)模無關(guān)。開發(fā)本次調(diào)查面臨的挑戰(zhàn)之一是“DevSecOps”一詞涵蓋了多個學科，其中許多學科都有自己獨特的角色。本次調(diào)查希望覆蓋不同專業(yè)背景的人士，既包括“直接”編寫代碼的開發(fā)者，也包括從事軟件安全相關(guān)工作的CISO級別DevSecOps在涉及軟件開發(fā)的各個組織中都廣受歡迎。SANS《2023年DevSecOps現(xiàn)狀調(diào)查》顯示，DevSecOps已經(jīng)成為一種重要的業(yè)務(wù)實踐和風險管理方法。但在過去，當安全團隊和開發(fā)團隊試圖把安全性納入他們的流程時，經(jīng)常會有不同意見，這很大程度上是因為這種做法會把傳統(tǒng)的應(yīng)用安全測試(AST)工具引入軟件開發(fā)生命周期(SDLC)。開發(fā)者經(jīng)常抱怨AST工具太復(fù)雜、難以學習、性能低下以及產(chǎn)生大量“噪音”，這些都會給DevOps帶來“摩擦”?

也就是，那些在軟件開發(fā)過程中阻止開發(fā)人員輕松快速構(gòu)建代碼的各種東西。33%33%性價比低不準確/不可靠2023年

DevSecOps現(xiàn)狀調(diào)查概述一致性自動化的好處關(guān)于Synopsys《2023年DevSecOps現(xiàn)狀調(diào)查》報告關(guān)于DevOps和DevSecOps自動測試可確保對每一次的構(gòu)建和部署一致地進行安全檢查。手動測試可能會導(dǎo)致測試過程和覆蓋范圍不一致。DevOps的核心原則是在SDLC的每個階段都自動執(zhí)行手動流程。對任何組織而言，自動化都是通過持續(xù)集成或持續(xù)部署來加速開發(fā)和交付代碼的基本前提。自動化的好處ASOC/ASPM在DevSecOps中的應(yīng)用日益成功的DevSecOps需要集成和自動化的相互作用，以及標準和策略的指導(dǎo)。這樣，既能讓安全團隊相信安全利益得到了保障，又能讓DevOps團隊保持工作狀態(tài)，相信不會發(fā)生管道中斷的情況?？蓴U展性增長隨著軟件復(fù)雜性的增長，手工測試將變得不切實際。自動測試容易擴展，以便跨越不同組件進行大量測試。Synopsys《2023年DevSecOps現(xiàn)持續(xù)集成和持續(xù)部署(CI/CD)狀調(diào)查》的主要發(fā)現(xiàn)自動測試在CI/CD管道中至關(guān)重要，因為這些管道中會發(fā)生快速而頻繁的代碼變更。自動測試可以快速驗證變2023年DevSecOps現(xiàn)狀調(diào)查與手動測試不同，自動安全測試可以快速一致地執(zhí)行，使開發(fā)人員能夠在開發(fā)過程的早期階段發(fā)現(xiàn)問題，不會影響到交付進度或工作效率。更，防止錯誤代碼進入生產(chǎn)環(huán)境。經(jīng)驗教訓(xùn)受訪者特征附錄持續(xù)改進自動測試提供數(shù)據(jù)和洞察，可以幫助開發(fā)和安全團隊隨時間的推移改進安全實踐，允許他們系統(tǒng)地分析和處理漏洞模式。記錄自動測試可以記錄整個測試過程，從而更容易跟蹤和審計安全措施與合規(guī)要求。減少人為錯誤由于疲勞或疏忽，手動測試容易出錯。自動測試遵循預(yù)定義的腳本，能夠降低人為錯誤的風險。節(jié)省時間和成本在開發(fā)過程的后期或生產(chǎn)過程中識別和修復(fù)安全問題既耗時又昂貴。自動測試可將這些費用降至最低。改進開發(fā)者體驗自動的應(yīng)用安全測試允許開發(fā)者采取主動的、全面的、有助于學習和提高安全知識和技能的方式來解決安全問題，從而增強開發(fā)者體驗，最終提高軟件安全性并提升整個開發(fā)過程的效率。.2023年

DevSecOps現(xiàn)狀調(diào)查ASOC/ASPM在

DevSecOps中的應(yīng)用日從開發(fā)到部署，ASPM解決方案能夠持續(xù)管理各種應(yīng)用風險，包括安全問題的檢測、關(guān)聯(lián)和優(yōu)先級排序。ASPM工概述關(guān)于Synopsys《2023年DevSecOps現(xiàn)狀調(diào)查》報告益增長28%關(guān)于DevOps和DevSecOps本報告對處于DevSecOps不同成熟階段的組織進行了考察，包括他們的特征，以及他們采用的安全工具/實踐。我們將根據(jù)調(diào)查結(jié)果為其提供指導(dǎo)性建議，幫助他們進一步提高軟件安全的成熟度。具可以從多個來源獲取數(shù)據(jù)，然后關(guān)聯(lián)并分析它們，以實現(xiàn)更輕松的解釋、分類和補救。自動化的好處ASOC/ASPM在DevSecOps中的應(yīng)用日益ASPM還充當安全工具的管理和編排層，支持安全策略的控制與實施。ASPM擁有應(yīng)用程序安全結(jié)果的綜合視角，從28%的受訪者表示，他們的組增長Synopsys《2023年DevSecOps現(xiàn)而提供了整個應(yīng)用程序或系統(tǒng)的安全與風險狀態(tài)的完整視圖?？検褂昧薃SOC工具有趣的是，從調(diào)查結(jié)果中可以看出，應(yīng)用安全編排與關(guān)聯(lián)(ASOC)—

現(xiàn)在一般稱為“應(yīng)用安全態(tài)勢管理”(ASPM)—的使用越來越普遍。根據(jù)Gartner的說法，對于使用多種開發(fā)和安全工具的任何組織而言，ASPM都應(yīng)該是優(yōu)先考慮的重要事項。狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查鑒于這1,000名受訪者中的大多數(shù)人都對其正在使用的AST工具普遍感到不滿

—

抱怨這些工具無法根據(jù)業(yè)務(wù)需求確定修復(fù)的優(yōu)先級經(jīng)驗教訓(xùn)受訪者特征附錄(35%)，也無法合并/關(guān)聯(lián)數(shù)據(jù)來幫助解決問題(29%)

—

因此，ASOC/ASPM的使用呈現(xiàn)快速增長趨勢也在情理之中。2023年

DevSecOps現(xiàn)狀調(diào)查Synopsys《2023年DevSecOps現(xiàn)狀超過70%的受訪者表示，通過自動掃描代碼來查找漏洞或編碼缺陷是一種有用的安全措施，34%的受訪者認為自動AST“非常有用”超過三分之一的受訪者表示，將自動安全測試集成到構(gòu)概述建/部署工作流中是安全計劃取得成功的關(guān)鍵Synopsys《2023年DevSecOps現(xiàn)調(diào)查》的主要發(fā)現(xiàn)大多數(shù)DevOps團隊都在某種程度上采用了DevSecOps其他的主要成功因素還包括通過基礎(chǔ)架構(gòu)即代碼來執(zhí)/程的有用性”類別中排名第一，緊隨其后的是“在SDLC的需求挖掘階段明確安全需求”以及“通過BSIMM和SAMM等模型對軟件安全計劃進行正式評估”。狀調(diào)查》的主要發(fā)現(xiàn)行安全

合規(guī)策略，在開發(fā)和運維團隊中培養(yǎng)安全支持者/對代碼進行安全漏洞和其他缺陷的自動化掃描，在“工具

流2023年DevSecOps現(xiàn)狀調(diào)查(securitychampions)，以及加強開發(fā)、運維和安全團隊之共有91%的受訪者表示，他們已將開展DevSecOps活動的某些安全措施納入到了軟件開發(fā)管道中?？梢钥隙ǖ卣f，采用DevSecOps方法論現(xiàn)已成為軟件開發(fā)的一部分。經(jīng)驗教訓(xùn)受訪者特征附錄間的溝通等。在SDLC后期處理重大漏洞，會極大地削弱收益幾乎所有的受訪者都認為AST工具與其業(yè)務(wù)需求超過80%的受訪者表示，2022-2023年間，已部署軟件中的擁有更成熟的安全計劃的組織有專人負責安全事務(wù)不符重大漏洞/安全問題以某種形式影響了他們的工作進度。在1,000名受訪者中，大多數(shù)人都認為AST工具存在各種各樣的問題是他們面臨的主要挑戰(zhàn)，包括這些工具無法根據(jù)業(yè)務(wù)需求對修復(fù)措施進行優(yōu)先級排序(35%)，也無法合并/關(guān)聯(lián)數(shù)據(jù)來幫助解決問題(29%)。29%的受訪者表示，他們擁有跨職能部門的DevSecOps團隊

—

由開發(fā)、安全和運維部門成員構(gòu)成的協(xié)作團隊，這是安全計劃取得成功的重要因素。專注于安全、與開發(fā)人員/軟件工程師和/或

QA和測試合作的人員可能處于擁有成熟安全計劃的組織中安全測試的第一線。28%的受訪者表示，他們的組織需要長達三周的時間來修補已部署應(yīng)用程序中的重大安全風險/漏洞；另有20%的受訪者表示，這可能需要一個月的時間52%的安全專業(yè)人員已經(jīng)開始在DevSecOps活動中積極使用AI，但超過四分之三的人擔心AI的使用問題考慮到現(xiàn)在的漏洞利用速度比以往任何時候都要快，這些數(shù)字尤其令人感到不安。最新研究表明

超過一半的漏洞在披露后的一周內(nèi)即被利用。有效實施DevSecOps存在許多障礙超過33%的受訪者指出，缺乏安全培訓(xùn)是主要障礙。緊隨其后的是安全人員短缺(31%)、開發(fā)/運維工作缺乏透明性(31%)以及優(yōu)先事項的不斷變化(30%)。調(diào)查結(jié)果表明，安全團隊正在積極使用

、機器學習、自然語AI言處理和神經(jīng)網(wǎng)絡(luò)。然而，隨著生成式

工具（如

驅(qū)動的編碼建議）的使用日益增多，引發(fā)了圍繞AI所生成代碼的一系列知識產(chǎn)權(quán)、版權(quán)和許可問題，某些情況下甚至引起了訴訟。AIAI2023年

DevSecOps現(xiàn)狀調(diào)查2023年DevSecOps現(xiàn)狀調(diào)查圖

A

您認為貴組織當前的軟件安全項目

計劃的成熟度處于哪一級？/概述Synopsys《2023年DevSecOps現(xiàn)DevSecOps部署第一級：安全流程是非結(jié)構(gòu)化的/無組織的。8.5%狀調(diào)查》的主要發(fā)現(xiàn)在1,000名受訪者中，超過三分之一的受訪者認為其安全計劃已經(jīng)達到了成熟度的第三級，即整個組織的安全流程都是文檔化的、可重復(fù)的和標準化的。另有25%的受訪者認為其安全計劃已經(jīng)達到了第四級，即安全流程也被記錄，同時還被監(jiān)控和評估。2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署第二級：安全流程是文檔化的，并且對于特定的團隊是可重復(fù)的。24.1%安全實踐的實施代表更高級別的成熟度第三級：第二級所述流程和程序在整個組織中是標準化的。積極主動的安全文化得到了領(lǐng)導(dǎo)層的認可和宣傳。評估安全計劃34.3%24.5%8.5%跨職能團隊對DevSecOps取得成功的重要共有91%的受訪者表示，他們已將某種類型的DevSecOps活動應(yīng)用到軟件開發(fā)管道中，采用DevSecOps似乎已成為DevOps的既定組成部分。性第四級：安全流程和控制是有記錄的、被管理和監(jiān)控的。手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標您正在使用哪些AST工具？它們有用嗎？第五級：安全流程是持續(xù)分析和改進的。何時進行測試？何時打補丁？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄2023年

DevSecOps現(xiàn)狀調(diào)查?

測試。執(zhí)行各種類型的安全測試來識別應(yīng)用程序中的漏洞，如SAST、動態(tài)應(yīng)用安全測試(DAST)、SCA和滲透測試。圖

B

貴組織采用哪些安全實踐？（選擇所有的適用項）概述安全實踐的實施代表更高級別的成熟度Synopsys《2023年DevSecOps現(xiàn)DevSecOps成熟度的另一個衡量標準如圖B所示，表明受訪者已經(jīng)采用了廣泛的安全實踐，從持續(xù)監(jiān)控和評估(30%)到自動測試(28%)。狀調(diào)查》的主要發(fā)現(xiàn)安全風險管理?

部署。安全地配置應(yīng)用程序的運行環(huán)境。實施訪問控制、35.1%2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署網(wǎng)絡(luò)安全以及適當?shù)纳矸蒡炞C和授權(quán)機制。作為被358名受訪者(35.1%)提及的最佳實踐，“安全風險管理”涉及在開發(fā)過程中的每個階段整合安全考慮因素，以識別、評估和減輕與軟件應(yīng)用相關(guān)的潛在安全風險。在SDLC的框架下，整體安全風險管理涵蓋以下活動：持續(xù)監(jiān)控和評估29.9%配置管理?監(jiān)控與評估。持續(xù)監(jiān)控生產(chǎn)環(huán)境中的應(yīng)用程序，以發(fā)現(xiàn)安安全實踐的實施代表更高級別的成熟度全事件和異常情況。實施日志記錄和監(jiān)控解決方案，以檢測和響應(yīng)潛在的違規(guī)行為。30%的受訪者表示，這是其組織采用的主要安全實踐。評估安全計劃29.6%跨職能團隊對DevSecOps取得成功的重要性?

需求分析。在SDLC中盡早識別安全需求和限制，并定義?

響應(yīng)和補救。制定事件響應(yīng)計劃，以快速有效地處理安全威脅數(shù)據(jù)和響應(yīng)29.3%29.1%28.6%28.5%28.4%28.2%27.9%27.6%手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標安全目標。事件。修復(fù)在測試階段檢測到的問題。?

設(shè)計。將安全原則納入到系統(tǒng)架構(gòu)和設(shè)計中，以確保應(yīng)用您正在使用哪些AST工具？它們有用嗎？?

透明度和安全性。建立明確的規(guī)范、標準和策略，并報告持續(xù)部署程序的設(shè)計包含針對常見漏洞的適當防護措施。何時進行測試？何時打補丁？這對我們的工作進度有何影響？安全風險和風險容忍度。?

開發(fā)。實施安全編碼實踐，并遵守解決安全問題的編碼標準。使用集成的安全測試工具，如靜態(tài)應(yīng)用安全測試(SAST)和軟件組成分析(SCA)，在編寫代碼和引入開源或第三方代碼時捕獲漏洞。?

培訓(xùn)。為開發(fā)團隊提供安全編碼實踐、常見漏洞和最佳安全實踐方面的培訓(xùn)，以使開發(fā)人員能夠主動解決安全問題。遺憾的是，34%的受訪者認為，“開發(fā)人員/工程師的安全培訓(xùn)不足/無效”是導(dǎo)致其組織無法有效實施DevSecOps的主要障礙之一。自動部署有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱持續(xù)測試經(jīng)驗教訓(xùn)受訪者特征附錄應(yīng)用安全編排與關(guān)聯(lián)?

持續(xù)改進。定期審查和改進SDLC中的安全流程和實踐。持續(xù)集成自動測試基礎(chǔ)架構(gòu)即代碼2023年

DevSecOps現(xiàn)狀調(diào)查圖

C

通過BSIMM和SAMM等模型對軟件安全性進概述評估安全計劃行正式評估的有效性.Synopsys《2023年DevSecOps現(xiàn)近70%的受訪者表示，通過軟件安全構(gòu)建成熟度模型(BSIMM)等評估工具來評估其安全計劃是有用的，超過三分之一的受訪者認為此類評估“非常有用”。33%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署對安全態(tài)勢進行外部評估，有助于您分析軟件安全計劃，并將其與其他組織和同行進行比較。BSIMM等工具能夠提供數(shù)據(jù)驅(qū)動的客觀分析，可以幫助您在此基礎(chǔ)上做出資源、時間、預(yù)算和優(yōu)先級決策。無論您是剛開始實施安全計劃，還是想讓現(xiàn)有計劃適應(yīng)不斷變化的業(yè)務(wù)和安全需求，與其他軟件安全計劃進行比較都能為您的策略提供指導(dǎo)。的受訪者認為，在開發(fā)和運維團隊中培養(yǎng)安全支持者是軟件安全計劃取得成功的重要因素安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要有用(凈占比)69.4%非常有用33.6%有點用35.8%性BSIMM報告

許多軟件安全團隊首先要做的手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標事實上，根據(jù)事情之一就是找出那些在軟件安全方面起到推動作用但與軟件安全團隊沒有直接聯(lián)系的人員。這些人統(tǒng)稱為“軟件安全支持者”，能夠支持和推動軟件安全工作。例如，工程團隊中的安全支持者可以鼓勵工程師對自己的軟件交付件的安全負責。33%的受訪者認為，制定安全支持者計劃是軟件安如果您正在負責軟件安全計劃或剛剛開始制定軟件安全計劃，了解同行的AppSec趨勢可以幫助您對自己的安全工作做出戰(zhàn)略性的改進。如果您從技術(shù)角度來管理安全計劃，可以借助BSIMM或軟件保障成熟度模型(SoftwareAssuranceMaturityModel,SAMM)評估所獲得的信息，為人員和流程制定戰(zhàn)術(shù)性的改進方案，例如制定安全支持者(SecurityChampions)計劃。您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補?。窟@對我們的工作進度有何影響？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱全計劃取得成功的關(guān)鍵因素之一。經(jīng)驗教訓(xùn)受訪者特征附錄沒用(凈占比)26.5%不太有用18.1%根本沒用8.4%2023年

DevSecOps現(xiàn)狀調(diào)查跨職能團隊對DevSecOps取得成功的重圖

D

貴組織由誰負責安全測試？（選擇所有的適用項）概述Synopsys《2023年DevSecOps現(xiàn)要性內(nèi)部安全團隊46.0%45.1%37.6%35.5%32.9%29%的受訪者指出，跨職能的DevSecOps團隊

—

由開發(fā)、安全和運維人員組成的協(xié)作團隊

—

是安全計劃取得成功的關(guān)鍵（見附錄Q16）。安全專業(yè)人員，與開發(fā)人員/軟件工程師及/或質(zhì)量保證和測試團隊協(xié)作（無論是正式加入DevSecOps團隊還是其他方式），都可能成為安全測試的第一道防線，助力組織打造更成熟的安全計劃。狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署開發(fā)人員/軟件工程師質(zhì)量保證/測試團隊跨職能領(lǐng)域的DevSecOps團隊外部顧問安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性在部署前后僅由安全團隊進行單一的流水線式測試已成為過去式。在當今的軟件開發(fā)環(huán)境中，安全測試是整個工程團隊的責任，包括質(zhì)量保證、開發(fā)和運維團隊，并且大多數(shù)團隊都會在軟件開發(fā)生命周期的不同階段將安全性構(gòu)建到他們的軟件中。手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補丁？這對我們的工作進度有何影響？33%的受訪者表示，他們的組織也會聘請外部顧問進行安全測試。這里的最佳實踐是定期進行安全審計。委托第三方審計人員或滲透測試人員開展此類測試，有助于客觀了解整個組織的安全態(tài)勢，這是非常寶貴的。有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄2023年

DevSecOps現(xiàn)狀調(diào)查圖

E

您如何評估或測試關(guān)鍵業(yè)務(wù)應(yīng)用的安全性？（選擇所有的適用項）概述手動和自動測試相結(jié)合，以取得最佳結(jié)果Synopsys《2023年DevSecOps現(xiàn)手動和自動評估相結(jié)合52.6%44.2%43.7%43.0%0.2%狀調(diào)查》的主要發(fā)現(xiàn)調(diào)查結(jié)果顯示，大多數(shù)受訪者認為，將手動和自動安全測試相結(jié)合，可以提供一個更全面的方法來評估關(guān)鍵業(yè)務(wù)應(yīng)用的安全性。自動測試雖然對于保持一致性、可擴展性以及節(jié)省時間和成本很重要，但人工參與可以增加一層洞察力和適應(yīng)性，這對識別復(fù)雜和微妙的安全問題是必不可少的。例如，作為“黑盒”測試（即，在不了解應(yīng)用內(nèi)部結(jié)構(gòu)的情況下開展測試），DAST就需要開發(fā)者和安全專家對測試結(jié)果進行驗證和分類。2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署外部滲透測試安全實踐的實施代表更高級別的成熟度自動評估和測試評估安全計劃跨職能團隊對DevSecOps取得成功的重要手動評估和/或測試（不包括滲透測試）性手動和自動測試相結(jié)合，以取得最佳結(jié)果同樣，44%的受訪者將外部滲透測試視為其安全測試的關(guān)鍵組成部分，這一事實證明了滲透測試對內(nèi)部測試起到重要的補充作用。外部滲透測試通常是為了符合行業(yè)規(guī)范和標準，能夠帶來額外的好處，例如提供有關(guān)貴組織安全態(tài)勢的客觀評估，以及對外部攻擊者可能利用的潛在威脅和漏洞的準確模擬。不知道/不確定關(guān)鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄2023年

DevSecOps現(xiàn)狀調(diào)查圖

F

您用來評估DevSecOps活動成功與否的主要KPI是什么？（最多可選3項）概述關(guān)鍵績效指標Synopsys《2023年DevSecOps現(xiàn)本次調(diào)查要求受訪者選擇評估其DevSecOps計劃成功與否的前三個關(guān)鍵績效指標(KPI)。首當其沖的是“公開漏洞的總體減少”，被295名受訪者提到(29%)，緊隨其后的是“SDLC后期發(fā)現(xiàn)的安全相關(guān)問題的減少”，被288名受訪者提到(28%)，排在第三位的“問題解決時間”，有281名受訪者提到了這一點(28%)。公開安全漏洞的數(shù)量29.0%28.3%27.6%27.4%27.0%24.4%23.8%22.8%22.3%1.1%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署開發(fā)流程后期發(fā)現(xiàn)的安全相關(guān)問題的減少安全實踐的實施代表更高級別的成熟度問題解決時間評估安全計劃正如調(diào)查結(jié)果所示，時間、生產(chǎn)率和成本是前面幾個KPI的三個共同點，也是組織在實現(xiàn)安全SDLC時面臨的挑戰(zhàn)。或者，換句話說，DevSecOps參與者面臨的三個主要問題是：跨職能團隊對DevSecOps取得成功的重要解決安全相關(guān)問題所花費時間的減少因安全問題造成的構(gòu)建延遲的減少因安全問題造成的構(gòu)建失敗的減少合規(guī)K

P（I

通過審核的百分比等）客戶提交的服務(wù)單數(shù)量性手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標?

我們?nèi)绾螠p少遇到的漏洞/問題的數(shù)量？?

我們?nèi)绾卧赟DLC中更早地發(fā)現(xiàn)漏洞？您正在使用哪些AST工具？它們有用嗎？?

我們?nèi)绾慰s短解決問題所需的時間，以減少構(gòu)建延遲并何時進行測試？何時打補??？這對我們的工作進度有何影響？提高開發(fā)效率？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄缺陷逃逸率我們沒有用來評估DevSecOps活動成功與否的主要KPI2023年

DevSecOps現(xiàn)狀調(diào)查您正在使用哪些AST工具？它們有用嗎？圖G

貴組織使用的下列應(yīng)用安全工具有用嗎（如果有的話）？針對安全漏洞和其他缺陷的自動代碼掃描(SAST)概述Synopsys《2023年DevSecOps現(xiàn)調(diào)查結(jié)果顯示，成功的DevSecOps策略使用完整的安全工具集來處理整個軟件開發(fā)生命周期中的代碼質(zhì)量和安全問題，包括動態(tài)應(yīng)用安全測試(DAST)、交互式應(yīng)用安全測試(IAST)、靜態(tài)應(yīng)用安全測試(SAST)和軟件組成分析(SCA)工具。狀調(diào)查》的主要發(fā)現(xiàn)動態(tài)應(yīng)用安全測試(DAST)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署安全實踐的實施代表更高級別的成熟度調(diào)查結(jié)果顯示，SAST是最歡迎的AST工具，72%的受訪者認為它很有用。緊隨其后的是IAST(69%)、SCA(68%)和DAST(67%)。評估安全計劃跨職能團隊對DevSecOps取得成功的重要有用(凈占比)71.5%沒用(凈占比)不適用3.4%有用(凈占比)67.1%沒用(凈占比)29.2%不適用3.6%性25.0%SAST和DAST采用不同的測試方法，適用于不同的

SDLC階段。SAST對于在SDLC早期（即應(yīng)用部署之前）發(fā)現(xiàn)和消除專有代碼中的漏洞至關(guān)重要。而DAST則適用于在部署之后發(fā)現(xiàn)運行過程中出現(xiàn)的問題，如身份驗證和網(wǎng)絡(luò)配置缺陷

。IAST則結(jié)合了SAST和DAST的某些功能，適用于檢測無法被其他類型的測試識別到的重大安全缺陷。手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標您正在使用哪些AST工具？它們有用嗎？開源/第三方依賴性分析(SCA)交互式應(yīng)用安全測試(IAST)何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱SCA適用于識別和管理開源安全和許可風險，這是現(xiàn)代軟件開發(fā)中的一個關(guān)鍵需求，尤其是在任何給定應(yīng)用中可能都有超過四分之三的代碼是開源代碼的情況下。由于許多組織都在使用從獨立軟件供應(yīng)商處購買的打包軟件，以及物聯(lián)網(wǎng)(IoT)設(shè)備和嵌入式固件，因此，他們可能還需要在其AST工具箱中開展某種形式的SCA二進制分析。經(jīng)驗教訓(xùn)受訪者特征附錄有用

凈占比()沒用

凈占比()不適用4.3%有用

凈占比()(

)沒用

凈占比27.7%不適用3.8%67.6%28.1%68.5%2023年

DevSecOps現(xiàn)狀調(diào)查圖

H

貴組織平均多久對關(guān)鍵業(yè)務(wù)應(yīng)用的安全性開展圖

I

貴組織平均需要多長時間才能修補/處理已部署/的或正在使用的應(yīng)用程序中的重大安全風險

漏洞？概述何時進行測試？何時打補丁？這對我們的工作進度有何影響？Synopsys《2023年DevSecOps現(xiàn)一次評估或測試？狀調(diào)查》的主要發(fā)現(xiàn)每天應(yīng)用安全測試的頻率取決于多個因素，包括應(yīng)用程序的業(yè)務(wù)關(guān)鍵性、行業(yè)和威脅情況等。正如我們的調(diào)查結(jié)果所示，對于非常重要的應(yīng)用程序，應(yīng)定期進行評估（圖H）。參與本次調(diào)查的大多數(shù)受訪機構(gòu)都表示，他們平均每周對業(yè)務(wù)關(guān)鍵型應(yīng)用進行兩到三天的漏洞掃描。7.1%17.2%20.4%17.0%11.1%7.2%7.5%6.4%4.4%1.7%0%2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署每周4-6天不到一周，請?zhí)峁┚唧w天數(shù)4.6%26.4%28.3%19.9%8.4%5.5%4.7%0%安全實踐的實施代表更高級別的成熟度1-2周每周2-3天評估安全計劃乍看之下，調(diào)查結(jié)果顯示有28%的組織需要花費長達三周的時間來修補重大漏洞（圖I），這可能令人擔憂，但這要結(jié)合其他因素來考慮。有種誤解，以為傳說中的開發(fā)者能夠修復(fù)所有漏洞，但沒有人會無端地要求開發(fā)者去深入研究那些不重要的漏洞?？缏毮軋F隊對DevSecOps取得成功的重要2-3周性每周一次手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標3周-1個月每2-3周一次您正在使用哪些AST工具？它們有用嗎？值得注意的是，關(guān)于實施DevSecOps的主要障礙，31%的受訪者認為是“開發(fā)/運維工作缺乏透明性”，29%的受訪者認為是“開發(fā)、運維和安全之間的組織孤島”（圖K）。這兩項都表明了安全和開發(fā)團隊之間的風險溝通問題，以及安全策略快速告警和自動化的需求。何時進行測試？何時打補??？這對我們的工作進度有何影響？1-2個月每月一次有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱2-4個月每兩個月一次每3-5個月一次每6-11個月一次每年一次經(jīng)驗教訓(xùn)受訪者特征附錄4-6個月在任何情況下，漏洞修補的優(yōu)先級排序都要與待修補資產(chǎn)的業(yè)務(wù)重要性、關(guān)鍵性和資產(chǎn)被利用的風險相一致，尤其是最后一點。研究表明，超過一半的漏洞在披露后一周內(nèi)被利用。6個月以上，請?zhí)峁┚唧w月數(shù)不確定2.2%每年不到一次，請?zhí)峁┚唧w數(shù)據(jù)永不0.2%2023年

DevSecOps現(xiàn)狀調(diào)查J在過去的一年（2022-2023年），解決一個重大鑒于此，組織需要根據(jù)通用漏洞評分系統(tǒng)(CVSS)的分數(shù)、通用弱點枚舉(CWE)信息以及漏洞可利用性等因素對漏洞修復(fù)進行優(yōu)先級排序，這一原則不僅適用于漏洞披露的“第零天”，還適用于應(yīng)用程序的整個生命周期。漏洞的存在會提高風險分數(shù)，有助于工作團隊優(yōu)先安排修復(fù)風險最高的漏洞。在評估了總體風險之后，還需要了解是否有現(xiàn)成的補丁、緩解措施或補償控制，這是您需要考慮的另外一些關(guān)鍵信息。例如，如果您有兩個中等風險但未被利用的漏洞，那么，先修復(fù)哪一個漏洞最終可能取決于它們是否存在現(xiàn)成的補丁或解決方案。圖概述安全/漏洞問題對貴組織的軟件交付計劃產(chǎn)生了多Synopsys《2023年DevSecOps現(xiàn)大的影響（如果有的話）？狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署CVSS分數(shù)是評估危險嚴重性的一個工業(yè)標準。國家漏洞數(shù)據(jù)庫(NVD)中的每個漏洞都有一個基本分數(shù)，可以幫助計算漏洞的嚴重性，并為漏洞修復(fù)的優(yōu)先級排序提供指導(dǎo)

。CVSS分數(shù)是在結(jié)合考慮漏洞可利用性和影響的基礎(chǔ)上給出的一個綜合性基礎(chǔ)分數(shù)。安全實踐的實施代表更高級別的成熟度在已部署的應(yīng)用程序中，重大的安全或漏洞問題往往會產(chǎn)生連鎖效應(yīng)，不僅會影響組織（或其客戶）的業(yè)務(wù)運營，還會對整個SDLC造成影響，如圖J所示。評估安全計劃跨職能團隊對DevSecOps取得成功的重要性有影響(凈占比)很大的影響38.4%些許的影響42.7%時間分數(shù)考慮由于漏洞外部事件而隨時間變化的指標。修復(fù)水平（是否有官方的修復(fù)方案？）和報告置信度（報告是否經(jīng)過確認？）可以幫助將CVSS的總體分數(shù)調(diào)整到適當?shù)娘L險水平。如果問題在開發(fā)早期就被發(fā)現(xiàn)，那么，這些問題可能只是小問題，但如果是在部署后的應(yīng)用程序中被發(fā)現(xiàn)，則這些問題可能會演變成“全員參與”的重大問題。集成到IDE和CI管道中的自動安全測試工具可以在代碼提交后立即（甚至在提交之前）識別出代碼中的漏洞和缺陷，使開發(fā)人員能夠在問題傳播到下游之前解決它們。手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標81.1%您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補?。窟@對我們的工作進度有何影響？CWE信息列出了具有安全影響的軟件或硬件缺陷。CWE告訴開發(fā)人員哪些缺陷可以被利用（如果有可用的漏洞）。這些信息可以幫助安全和開發(fā)團隊了解開發(fā)人員安全培訓(xùn)的重點，在SDLC和生產(chǎn)中實施哪些額外的安全控制，以及是否需要添加風險嚴重性評估機制。例如，開發(fā)團隊可能會根據(jù)應(yīng)用程序所接觸的數(shù)據(jù)情況、部署位置以及其他環(huán)境和安全因素，對SQL注入、緩沖區(qū)溢出或拒絕服務(wù)分配不同的優(yōu)先級。有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄沒什么影響根本沒有影響1.8%沒影響(凈占比)18.9%17.2%2023年

DevSecOps現(xiàn)狀調(diào)查有效DevSecOps面臨的挑戰(zhàn)圖

K

貴組織實施DevSecOps的挑戰(zhàn)/障礙是什么？（選擇所有的適用項）概述Synopsys《2023年DevSecOps現(xiàn)網(wǎng)絡(luò)安全人才短缺是DevSecOps面臨的一個重大挑戰(zhàn)，如圖K所示，許多組織的關(guān)鍵網(wǎng)絡(luò)安全崗位都無法招聘到合格人員。一些研究顯示，全球有350萬個網(wǎng)絡(luò)安全職位空缺。隨著市場對訓(xùn)練有素的網(wǎng)絡(luò)安全專業(yè)人士的需求日益增長，供應(yīng)的稀缺將導(dǎo)致熟練從業(yè)人員的工資上漲，使許多政府機構(gòu)和中小企業(yè)無法負擔。但是，正如圖K所顯示的那樣，“開發(fā)人員/工程師的安全培訓(xùn)不足”仍是排在首位的最大挑戰(zhàn)。開發(fā)人員/工程師的安全培訓(xùn)不足/無效33.9%31.4%31.3%30.4%29.4%29.1%29.0%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署應(yīng)用安全人員

技能短缺/開發(fā)/運維工作缺乏透明性不斷變化的需求和優(yōu)先級安全計劃和工具的預(yù)算/資金不足開發(fā)、運維和安全團隊之間的組織孤島安全團隊缺乏編碼技能安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標經(jīng)證實，建立安全支持者計劃是解決這些問題行之有效的策略，即從組織內(nèi)部的各個部門挑選出對安全有著高于平均水平的興趣或技能的人員（這些人員已經(jīng)開始利用自己的專業(yè)知識為開發(fā)、質(zhì)量保證和運維團隊提供支持）。安全支持者可以為新項目出謀劃策和提供反饋，也可以在新興或快速變化的技術(shù)領(lǐng)域，幫助安全或工程團隊將軟件安全技能與他們可能欠缺的領(lǐng)域知識相結(jié)合。敏捷教練(Agilecoaches)、敏捷項目管理人員(scrummasters)和DevOps工程師都是非常適合的安全支持者人選，特別是在發(fā)現(xiàn)和消除流程中的摩擦方面。您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄2023年

DevSecOps現(xiàn)狀調(diào)查如本報告前面所述，SAST、DAST、IAST和SCA等AST工具都已被受訪者廣泛使用，但將這些工具與業(yè)務(wù)需求有效掛鉤仍然是一個挑戰(zhàn)（圖L）。AST工具碎片化和修復(fù)速度緩慢正是應(yīng)用安全編排與關(guān)聯(lián)(ASOC)和應(yīng)用安全態(tài)勢管理(ASPM)旨在解決的問題。Gartner指出ASOC/ASPM可以作為管理層來編排多個AST工具，自動對發(fā)現(xiàn)的問題進行關(guān)聯(lián)和上下文分析，以加快和優(yōu)化修復(fù)過程。圖

L

貴組織使用的應(yīng)用安全測試工具的主要問題是什么？（最多可選3項）概述Synopsys《2023年DevSecOps現(xiàn)狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署許多受訪者都抱怨說，他們使用的安全測試工具無法根據(jù)安全漏洞的暴露程度、可利用性和嚴重程度等因素對修復(fù)工作進行優(yōu)先級排序；因為速度太慢而無法適應(yīng)快速發(fā)布周期/持續(xù)部署；不準確且不可靠。工具無法根據(jù)安全漏洞的暴露程度、可利用性和嚴重程度對修復(fù)工作進行優(yōu)先級排序34.7%ASOC/ASPM可以提取并整合多個來源的結(jié)果，就整個應(yīng)用環(huán)境提供統(tǒng)一風險視圖，從而允許您基于業(yè)務(wù)背景（如嚴重程度）對修補工作進行數(shù)據(jù)驅(qū)動的優(yōu)先級排序，以促進對最高風險漏洞的更快修補。ASOC/ASPM還能提供生產(chǎn)環(huán)境的可視化，從而解決已部署應(yīng)用中漏洞修復(fù)時間過長的問題，幫助有效避免漏洞利用（大多數(shù)的漏洞利用都發(fā)生在工具因速度太慢而無法適應(yīng)快速發(fā)布周期/持續(xù)部署安全實踐的實施代表更高級別的成熟度評估安全計劃由于無法整合或關(guān)聯(lián)不同安全測試的結(jié)果，安全和DevOps團隊花費了太多時間來確定需要率先修復(fù)的漏洞

—

這可能是近四分之三的受訪者指出他們的組織需要兩周到一個月的時間來修補已知重大漏洞的原因之一（圖I）。34.1%跨職能團隊對DevSecOps取得成功的重要性性價比低33.5%手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標漏洞披露后的幾天內(nèi)）。.不準確/不可靠您正在使用哪些AST工具？它們有用嗎？不能迅速修補漏洞會影響到根本利益。超過80%的受訪者表示，2022-2023年間，處理已部署軟件中的重大漏洞或相關(guān)安全問題影響了他們的工作進度（圖J）。33.1%何時進行測試？何時打補丁？這對我們的工作進度有何影響？誤報率高32.2%有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱無法整合/關(guān)聯(lián)來自不同工具的結(jié)果29.0%經(jīng)驗教訓(xùn)受訪者特征附錄沒有重大問題3.1%2023年

DevSecOps現(xiàn)狀調(diào)查AI的承諾和陷阱圖

M

貴組織目前是否正在使用

工具來加強軟件AI圖

N

您預(yù)計使用

工具將對貴組織的AI

DevSecOps概述Synopsys《2023年DevSecOps現(xiàn)調(diào)查結(jié)果顯示，AI的使用已經(jīng)深入到許多組織的軟件安全計劃中，超過50%的受訪者表示，他們正在DevSecOps實踐中積極使用AI。54%的受訪者希望通過AI來提高其安全措施的效率和準確性。48%的受訪者希望通過AI來幫助他們減少對安全測試的人工審查。安全措施？流程和工作流有何影響？（選擇所有的適用項）是，我們正在積極使用AI工具狀調(diào)查》的主要發(fā)現(xiàn)52.5%2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署提高安全措施的效率和準確性否，我們對AI工具的使用持開放態(tài)度，但尚未實施53.7%36.5%安全實踐的實施代表更高級別的成熟度考慮到AI可能為DevSecOps提供的主要優(yōu)勢，您會覺得這是很有道理的。AppSec團隊經(jīng)常陷入兩難的境地，一方面需要進行完整和一致的安全測試，另一方面需要跟上使用DevOps方法論和CI管道的開發(fā)團隊的節(jié)奏。當截止日期緊迫時，開發(fā)人員很容易跳過關(guān)鍵的安全風險評估過程。增加軟件安全的復(fù)雜性和技術(shù)需求降低安全數(shù)據(jù)的人工審查和分析需求沒有重大影響評估安全計劃否，我們還沒有實施AI工具，也沒有這樣的計劃52.0%跨職能團隊對DevSecOps取得成功的重要11.0%性手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標否(凈占比)48.4%0.9%您正在使用哪些AST工具？它們有用嗎？47.5%本次調(diào)查的受訪者表示，“提高安全措施的準確性和效率”(54%)以及“降低安全數(shù)據(jù)的人工審查和分析需求

”(48%)是他們將AI引入安全SDLC的兩個主要目的。何時進行測試？何時打補丁？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱然而，請注意，受訪者還表示，他們預(yù)計AI會“增加軟件安全的復(fù)雜性和技術(shù)要求”，也許有一天，唯一能對AI生成的代碼進行充分審查的實體只有AI自己。經(jīng)驗教訓(xùn)受訪者特征附錄2023年

DevSecOps現(xiàn)狀調(diào)查在DevSecOps中實施AI還面臨著額外的挑戰(zhàn)，例如確保數(shù)據(jù)質(zhì)量以及解決安全和隱私問題。隨著AI工具越來越多地集成到DevOps管道中，它們幾乎肯定會成為安全威脅的主要目標。處理用于訓(xùn)練AI的敏感數(shù)據(jù)也會引發(fā)隱私問題。圖O

您認為AI工具可以有效加強哪些特定領(lǐng)域的軟件安全？概述Synopsys《2023年DevSecOps現(xiàn)威脅檢測與防御漏洞掃描與測試身份和訪問管理合規(guī)和法規(guī)管理45.1%44.2%42.0%41.6%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署AI的使用會帶來一些潛在風險，例如AI輔助編碼可能會圍繞著AI創(chuàng)建的代碼產(chǎn)生所有權(quán)、版權(quán)和許可問題。安全實踐的實施代表更高級別的成熟度2022年底，GitHub、Microsoft和OpenAI遭到集體訴訟，指控GitHubCopilot—

一款為開發(fā)者在編碼時提供自動補全式建議的云端AI工具

—

侵犯了版權(quán)法和軟件許可要求，并且訓(xùn)練Copilot服務(wù)所使用的開源代碼也侵犯了開發(fā)者的權(quán)利。該訴訟還聲稱，Copilot建議的代碼使用了有許可的材料，但沒有注明出處、版權(quán)聲明或遵守原始許可條款。評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補丁？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄2023年

DevSecOps現(xiàn)狀調(diào)查基于大型語言模型的生成式AI聊天機器人，如ChatGPT和GoogleBard，也存在隨機產(chǎn)生“幻覺”的問題，即它們的回復(fù)雖然看起來可信和自信，但實際上是錯誤的

—

用通俗的說法，就是“說謊”。圖P

您對基于AI的安全解決方案中潛在的偏差或錯誤有多擔心（如果有擔心的話）？概述Synopsys《2023年DevSecOps現(xiàn)狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查DevSecOps部署AI幻覺顯然會威脅到軟件供應(yīng)鏈安全。研究人員發(fā)現(xiàn)

，ChatGPT可能會為您推薦虛幻的、根本不存在的代碼庫或軟件包。惡意行為者可以創(chuàng)建具有相同名稱的軟件包，在其中填充惡意代碼，然后將其分發(fā)給聽從AI建議的毫無戒心的開發(fā)人員。這可能會對網(wǎng)絡(luò)犯罪分子產(chǎn)生顛覆性的影響，讓他們能夠避開更傳統(tǒng)和容易被發(fā)現(xiàn)的技術(shù)，如拼寫錯誤或偽裝。事實上，研究人員發(fā)現(xiàn)，根據(jù)

ChatGPT

的幻覺建議創(chuàng)建的惡意軟件包已經(jīng)存在于

PyPI和

npm等流行的軟件包管理程序中。安全實踐的實施代表更高級別的成熟度擔心(凈占比)非常擔心有些擔心中立/沒感覺不擔心(凈占比)評估安全計劃76.6%

25.4%

51.3%

16.2%

6.0%不太擔心一1點都.2不擔心%7.2%跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結(jié)合，以取得最佳結(jié)果關(guān)鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補丁？這對我們的工作進度有何影響？這種威脅不是理論上的；而是真實存在的，正在發(fā)生的。無論供應(yīng)鏈攻擊是源自AI幻覺還是惡意行為者，要想對其進行防御，就必須了解代碼來源、驗證開發(fā)人員和維護人員的身份、并且只從可靠的供應(yīng)商或來源下載軟件包，這些都是至關(guān)重要的。.有效DevSecOps面臨的挑戰(zhàn)AI的承諾和陷阱經(jīng)驗教訓(xùn)受訪者特征附錄2023年

DevSecOps現(xiàn)狀調(diào)查對于那些在滿足業(yè)務(wù)需求的同時，努力使各種孤立的安全工具形成合力的組織來說，應(yīng)用安全態(tài)勢管理(ASPM)可以提供必要的增強效果。本報告探討的調(diào)查有力地表明，安全工具提供的碎片化結(jié)果、不堪重負的工作團隊和緩慢的漏洞修復(fù)速度是阻礙DevSecOps取得成功的根本挑戰(zhàn)。對于那些擁有多元化DevSecOps團隊并使用多種應(yīng)用安全測試工具的組織來說，概述經(jīng)驗教訓(xùn)Synopsys《2023年DevSecOps現(xiàn)雖然大多數(shù)組織在很大程度上采用了某些DevSecOps實踐，但在有效實施方面仍然面臨挑戰(zhàn)。本次調(diào)查顯示，問題主要集中在兩個領(lǐng)域。ASPM可以自動協(xié)調(diào)孤立的工具、提狀調(diào)查》的主要發(fā)現(xiàn)供上下文并確定優(yōu)先級，以使組織能夠?qū)Ｗ⒂趯I(yè)務(wù)最重要的應(yīng)用安全問題。2023年DevSecOps現(xiàn)狀調(diào)查ASPM可能是有效應(yīng)對這些挑戰(zhàn)的關(guān)鍵。?

集成和調(diào)整多個應(yīng)用安全測試(AST)工具的結(jié)果，使其與?

ASPM可與開發(fā)和安全測試工具以及運維監(jiān)控工具相集成，以提供整合好的單一視圖來展示組織中各方面的安全相關(guān)信息。經(jīng)驗教訓(xùn)受訪者特征附錄業(yè)務(wù)優(yōu)先級相一致?

減少處理重大漏洞所需的時間28%的受訪者表示，他們的組織需要長達三周的時間來修補已部署應(yīng)用中的重大安全風險/漏洞。另有20%的受訪者表示，修補漏洞可能需要長達一個月的時間，但大多數(shù)漏洞都會在披露后的幾天內(nèi)被利用。受訪者表示，他們最不能忍受的是AST工具無法根據(jù)業(yè)務(wù)需求對漏洞修補進行優(yōu)先級排序。SoftwareRiskManager：兌現(xiàn)?

通過關(guān)聯(lián)和分組來自分析特定應(yīng)用程序和漏洞的不同工ASPM的承諾具的數(shù)據(jù)，ASPM可以提供應(yīng)用程序整體安全狀況的全?

簡化AppSec管理面視圖。DevSecOps團隊可以生成與其角色和職責相關(guān)的數(shù)據(jù)，而ASPM可以將這些數(shù)據(jù)以對業(yè)務(wù)線經(jīng)理及其?

全面了解AppSec風險他需要更廣闊視角的人有意義的方式展現(xiàn)出來。?快速確定重大問題的優(yōu)先級?

ASPM允許您針對特定應(yīng)用和漏洞可能帶來的特定風險制定并執(zhí)行安全策略。當與開發(fā)或運維基礎(chǔ)設(shè)施集成時，ASPM還允許您盡早地發(fā)現(xiàn)并解決安全問題。?

規(guī)范AppSec工作流正如本報告在引言部分所述，編寫調(diào)查問卷的挑戰(zhàn)之一是術(shù)語“DevSecOps”涵蓋多個不同學科，其中許多學科都有自己獨特的角色。就“業(yè)務(wù)優(yōu)先級”而言，不同的角色可能對其有不同的理解。?測試與業(yè)務(wù)需求同步2021年的Gartner報告指出。大約有5%的受訪組織采用了ASPM或其前身

—

應(yīng)用安全編排與關(guān)聯(lián)(ASOC)工具。Gartner預(yù)計其采用速度將會迅速提升，這一預(yù)測在2023年的調(diào)查結(jié)果中得到了印證

—

28%的受訪者已經(jīng)開ASOC/ASPM

Gartner還指出，早期采用者往往是擁希望了解ASPM的實際好處？立即聯(lián)系Synopsys，安排觀例如，業(yè)務(wù)主管最希望了解AppSec工具的效力，他們希望全面了解其流程及其能給整個團隊帶來怎樣的績效提升。開發(fā)和運維團隊希望AppSec能夠幫助他們集中查看所有問題，以確定最有價值的安全活動。安全專業(yè)人士則希望借此來消除噪音，以便優(yōu)先安排迅速處理重大問題?？碨oftwareRiskManager的演示。始使用。有成熟的DevSecOps計劃和使用多種安全工具的團隊，這些都是我們DevSecOps調(diào)查受訪者的特征。2023年

DevSecOps現(xiàn)狀調(diào)查概述受訪者的行業(yè)分布Synopsys《2023年DevSecOps現(xiàn)18%15%13%7%7%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查技術(shù)網(wǎng)絡(luò)安全應(yīng)用/軟件開發(fā)制造金融科技經(jīng)驗教訓(xùn)受訪者特征附錄6%6%5%4%4%4%教育銀行/金融電信/ISP醫(yī)療保健零售媒體3%3%3%2%2%0.5%政府保險交通運輸非盈利機構(gòu)/協(xié)會公用事業(yè)其他受訪者的工作角色應(yīng)用安全架構(gòu)師

應(yīng)用安全經(jīng)理

CISO

開發(fā)人員

DevOps工程師

應(yīng)用安全總監(jiān)

網(wǎng)絡(luò)安全總監(jiān)

IT風險管理總監(jiān)

IT共享服務(wù)總監(jiān)

產(chǎn)品安全總監(jiān)

安全保障總監(jiān)

產(chǎn)品安全執(zhí)行總監(jiān)事故和安全經(jīng)理

信息保障總監(jiān)

軟件安全工程經(jīng)理

運維工程師

AppSec產(chǎn)品安全人員

程序員

QA/測試人員/測試經(jīng)理

發(fā)布工程師/經(jīng)理

安全管理員/安全分析師

安全架構(gòu)師安全總監(jiān)

安全工程經(jīng)理

產(chǎn)品安全高級總監(jiān)

產(chǎn)品安全和技術(shù)高級副總裁

技術(shù)主管

產(chǎn)品和應(yīng)用安全副總裁

安全架構(gòu)副總裁

安全合規(guī)副總裁2023年

DevSecOps現(xiàn)狀調(diào)查受訪者的國家/數(shù)量該組織創(chuàng)建/管理的軟件/應(yīng)用該組織采用的安全實踐概述Synopsys《2023年DevSecOps現(xiàn)135128127127126126125中國:美國:芬蘭:英國:德國:日本:法國:應(yīng)用軟件46%44%42%38%37%35%31%安全風險管理35%30%30%30%29%29%28%28%28%28%28%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查系統(tǒng)軟件持續(xù)監(jiān)控和評估經(jīng)驗教訓(xùn)受訪者特征附錄Web應(yīng)用配置管理產(chǎn)品軟件威脅數(shù)據(jù)和響應(yīng)人工智能軟件工程/科學軟件嵌入式軟件持續(xù)部署自動部署持續(xù)測試125新加坡:應(yīng)用安全編排與關(guān)聯(lián)組織規(guī)模（員工/臨時工人數(shù)）持續(xù)集成自動測試1%4%7%15,001–50,0008%10,001–15,00013%5,001–10,000超過100,00050,001–100,000基礎(chǔ)架構(gòu)即代碼12%2,001–5,00019%1,001–2,00019%501–1,00015%100–5002%不到1002023年

DevSecOps現(xiàn)狀調(diào)查Q1.貴組織主要屬于哪個行業(yè)？概述Synopsys《2023年DevSecOps現(xiàn)全球18.45%14.52%12.66%7.26%6.87%5.59%5.50%5.10%4.12%4.02%3.63%3.14%2.85%2.55%1.67%1.57%0.49%英國10.24%17.32%4.72%3.94%6.30%6.30%7.09%5.51%6.30%7.09%3.15%5.51%5.51%3.94%3.94%2.36%0.79%美國34.38%13.28%7.03%3.13%7.03%5.47%3.91%3.13%7.03%5.47%2.34%3.13%3.13%0.00%0.78%0.78%0.00%法國14.40%20.00%20.00%4.00%4.80%7.20%5.60%6.40%4.00%4.00%0.80%2.40%1.60%3.20%0.80%0.00%0.80%芬蘭12.60%14.96%14.17%5.51%10.24%6.30%4.72%8.66%3.94%3.94%3.94%3.15%3.15%1.57%1.57%0.79%0.79%德國9.52%10.32%1.59%9.52%11.11%3.97%11.11%7.14%3.17%5.56%5.56%4.76%4.76%6.35%3.17%2.38%0.00%中國42.96%7.41%26.67%13.33%2.22%0.00%0.74%2.22%1.48%0.00%0.74%0.74%0.00%0.74%0.00%0.74%0.00%新加坡12.00%18.40%5.60%8.80%8.80%9.60%4.00%3.20%4.00%3.20%4.80%4.00%3.20%3.20%2.40%4.00%0.80%日本9.52%15.08%20.63%9.52%4.76%6.35%7.14%4.76%3.17%3.17%7.94%1.59%1.59%1.59%0.79%1.59%0.79%狀調(diào)查》的主要發(fā)現(xiàn)技術(shù)2023年DevSecOps現(xiàn)狀調(diào)查網(wǎng)絡(luò)安全應(yīng)用/軟件開發(fā)制造經(jīng)驗教訓(xùn)受訪者特征附錄金融科技教育銀行/金融電信/ISP醫(yī)療保健零售媒體政府保險交通運輸非盈利機構(gòu)/協(xié)會公用事業(yè)其他（請注明）2023年

DevSecOps現(xiàn)狀調(diào)查Q2.貴組織有多大？包括員工和臨時工？概述Synopsys《2023年DevSecOps現(xiàn)全球英國美國法國2.40%20.80%23.20%15.20%16.00%7.20%3.20%4.00%4.00%4.00%芬蘭德國0.00%19.05%21.43%15.87%7.14%6.35%5.56%17.46%7.14%0.00%中國3.70%14.81%8.89%37.78%5.93%20.00%2.96%0.74%5.19%0.00%新加坡1.60%日本3.17%19.84%30.16%10.32%9.52%7.14%11.11%6.35%2.38%0.00%不到100，請注明100–5001.57%15.11%19.04%18.65%12.37%13.05%8.44%6.67%4.42%0.69%1.57%0.00%16.41%23.44%17.19%10.94%11.72%9.38%4.69%5.47%0.78%0.00%12.60%14.96%19.69%18.11%15.75%8.66%6.30%3.15%0.79%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查11.02%14.96%15.75%22.83%18.11%10.24%3.94%6.40%501–1,00016.00%16.00%8.80%經(jīng)驗教訓(xùn)受訪者特征附錄1,001–2,0002,001–5,0005,001–10,00010,001–15,00015,001–50,00050,001–100,000超過100,000，請注明17.60%16.80%10.40%6.40%1.57%0.00%0.00%Q3.貴組織創(chuàng)建或管理哪些類型的軟件/應(yīng)用？（選擇所有的適用項）全球英國美國法國芬蘭德國中國新加坡36.80%39.20%39.20%30.40%35.20%30.40%29.60%0.00%日本應(yīng)用軟件46.03%44.06%41.71%38.27%36.60%35.23%30.91%0.20%40.94%42.52%27.56%29.13%30.71%25.20%29.13%0.79%61.72%54.69%45.31%47.66%41.41%39.84%34.38%0.00%48.00%40.00%40.80%28.80%32.00%27.20%20.80%0.00%37.01%30.71%44.09%39.37%32.28%31.50%29.92%0.00%34.13%34.92%37.30%30.16%33.33%38.89%30.16%0.00%70.37%67.41%68.89%65.19%57.04%57.04%42.22%0.00%37.30%41.27%28.57%33.33%29.37%30.16%30.16%0.79%系統(tǒng)軟件Web應(yīng)用產(chǎn)品軟件人工智能軟件工程/科學軟件嵌入式軟件其他，請注明2023年

DevSecOps現(xiàn)狀調(diào)查Q4.貴組織采用哪些安全實踐？（選擇所有的適用項）概述Synopsys《2023年DevSecOps現(xiàn)全球英國美國法國芬蘭德國中國新加坡32.80%25.60%30.40%27.20%20.80%24.80%17.60%28.00%28.00%20.00%25.60%0.00%日本狀調(diào)查》的主要發(fā)現(xiàn)安全風險管理35.13%35.43%25.20%19.69%22.83%27.56%18.90%22.05%29.13%23.62%19.69%23.62%0.00%40.63%34.38%31.25%39.84%35.16%28.91%32.03%39.84%30.47%33.59%41.41%0.00%33.60%29.60%24.80%31.20%21.60%32.80%24.80%20.00%24.80%28.00%22.40%0.00%32.28%32.28%23.62%28.35%29.13%28.35%30.71%19.69%25.98%24.41%20.47%0.79%19.84%22.22%23.02%19.84%28.57%23.81%23.02%18.25%19.84%15.08%22.22%0.00%56.30%44.44%49.63%41.48%41.48%48.15%48.15%51.85%47.41%48.15%48.15%0.00%28.57%24.60%33.33%23.02%26.98%21.43%27.78%18.25%23.81%32.54%15.08%0.00%2023年DevSecOps現(xiàn)狀調(diào)查持續(xù)監(jiān)控與評估29.93%29.64%29.34%29.05%28.56%28.46%28.36%28.16%27.87%27.58%0.10%配置管理經(jīng)驗教訓(xùn)受訪者特征附錄威脅數(shù)據(jù)和響應(yīng)持續(xù)部署自動部署持續(xù)測試應(yīng)用安全編排與關(guān)聯(lián)持續(xù)集成自動測試基礎(chǔ)架構(gòu)即代碼其他，請注明2023年

DevSecOps現(xiàn)狀調(diào)查Q5.貴組織使用的以下應(yīng)用安全工具、實踐或技術(shù)是否有用？（如果有的話）概述Synopsys《2023年DevSecOps現(xiàn)在SDLC的需求挖掘階段明確安全需求全球英國美國法國芬蘭德國中國新加坡55.20%17.60%37.60%26.40%14.40%40.80%4.00%日本有用（凈占比）非常有用些許有用不太有用根本沒用沒用（凈占比）N/A71.25%32.09%39.16%16.78%7.56%66.93%25.20%41.73%15.75%11.02%26.77%6.30%78.91%46.88%32.03%12.50%3.13%73.60%32.00%41.60%16.80%8.00%81.10%35.43%45.67%13.39%3.15%62.70%24.60%38.10%20.63%11.90%32.54%4.76%97.04%54.07%42.96%2.96%0.00%2.96%0.00%52.38%19.05%33.33%26.98%9.52%狀調(diào)查》的主要發(fā)現(xiàn)2023年DevSecOps現(xiàn)狀調(diào)查經(jīng)驗教訓(xùn)受訪者特征附錄24.34%4.42%15.63%5.47%24.80%1.60%16.54%2.36%36.51%11.11%通過BSIMM和SAMM等模型對軟件安全性進行正式評估全球英國美國法國芬蘭德國中國新加坡67.20%28.80%38.40%16.80%10.40%27.20%5.60%日本有用（凈占比）非常有用些許有用不太有用根本沒用沒用（凈占比）N/A69.38%33.56%35.82%18.06%8.44%55.91%24.41%31.50%25.20%11.81%37.01%7.09%79.69%47.66%32.03%10.94%7.03%71.20%25.60%45.60%17.60%8.80%70.87%30.71%40.16%25.20%2.36%57.94%26.98%30.95%23.02%16.67%39.68%2.38%94.81%57.04%37.78%3.70%0.74%4.44%0.74%55.56%25.40%30.16%23.02%10.32%33.33%11.11%26.50%4.12%17.97%2.34%26.40%2.40%27.56%1.57%通過自動掃描代碼來查找安全漏洞和其他缺陷，例如靜態(tài)應(yīng)用安全測試(SAST)全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）非常有用些許有用不太有用根本沒用沒用（凈占比）N/A71.54%34.35%37.19%17.37%7.65%62.20%29.13%33.07%22.05%13.39%35.43%2.36%76.56%46.09%30.47%10.94%8.59%76.00%33.60%42.40%16.80%5.60%78.74%38.58%40.16%18.11%2.36%65.87%27.78%38.10%17.46%11.90%29.37%4.76%94.07%54.07%40.00%5.93%0.00%5.93%0.00%54.40%21.60%32.80%29.60%12.80%42.40%3.20%62.70%22.22%40.48%19.05%7.14%25.02%3.43%19.53%3.91%22.40%1.60%20.47%0.79%26.19%11.11%2023年

DevSecOps現(xiàn)狀調(diào)查開源/第三方依賴性分析(SCA)概述全球英國美國法國芬蘭德國中國新加坡53.60%20.00%33.60%27.20%12.80%40.00%6.40%日本有用（凈占比）67.62%30.32%37.29%19.73%8.34%50.39%22.05%28.35%25.98%14.17%40.16%9.45%75.00%33.59%41.41%16.41%5.47%73.6