本周发布的一项针对621名IT和安全专业人员的调查发现,只有20%的人对自己在应用程序发布之前检测漏洞的能力充满信心。
这项调查由一家为开发者提供网络安全培训服务的提供商进行,A5互联www.a5idc.net调查发现61%的人难以有效修复漏洞,其中55%的人将延误归咎于开发、安全和合规团队之间的不一致。
三分之一的受访者(33%)表示,团队缺乏对应用程序和资产的共同看法,其中38%的受访者承认他们缺乏让各部门负责修补应用程序的能力。调查发现,只有11%的企业认为他们及时有效地修补了漏洞。
在研究之前的12个月内,54%的受访者因未修补的漏洞遭受过安全事件,其中51%的受访者经历过8次以上事件。
总体而言,一半(50%)承认他们在应用程序发布后未能测试其安全性。只有36%专门教导开发人员编写安全代码。只有五分之一(21%)的开发人员接受过漏洞修复方面的教育。不到一半(43%)投资于第三方提供的培训。
在提供培训时,68%的受访者还承认没有提供即时反馈,不到一半(47%)的人表示安全编码培训是为了满足开发人员的需求而定制的。调查发现,一半(50%)接受培训的人没有进行正式的评估来衡量知识增益。
调查清楚地表明,在教授开发人员如何编写安全代码方面,仍有大量工作要做。
此外,太多的软件开发团队对他们下次计划更新应用程序时修复已知漏洞的能力过于乐观,许多开发人员转向下一个应用程序只是因为满足交付期限的压力太大,或者还有其他一些新兴技术需要学习,例如大型语言模型(LLM)。事实上,太多企业过于关注应用程序的构建和部署速度,而忽视了网络安全。因为网络犯罪分子已经变得更加擅长监控应用程序部署和更新。
部署代码和网络犯罪分子开始扫描代码之间的时间间隔现在以小时而不是天来衡量。不幸的是,开发人员正在部署比以往更多的不安全代码。贝克指出,事实上,大部分代码在设计上都是不安全的。
总体而言,近一半的受访者(48%)仅每年、每两年或在事件发生时对开发人员进行培训。超过三分之二(68%)只培训开发人员如何实施安全编码实践以满足合规性要求。实际上,由于开发人员在学校里没有接受过安全方面的教育,所以他们接受的培训都是在工作中进行的。
显然,在实施DevSecOps最佳实践以提高应用程序安全性方面,仍有许多工作要做。与此同时,需要修补的代码量已经达到了大多数应用程序开发团队永远无法有效解决的比例。
