欣慰的是,过去12个月的平均天数呈下降趋势(同比减少了5天)。漏洞缓解表现最糟糕的三个行业——教育、公共管理和房地产,缓解关键漏洞平均用时都超过了一年之久。
应用安全人才需求激增
应用程序开发安全已经成为网络安全未来发展的关键所在。一项最新的行业研究表明,开发安全已经成为增长最快的网络安全技能。预计未来五年开发安全技能的需求将增长164%。五年内,开发安全人才的职位缺口将从2020年的29635人扩大到48601人。
上述调查发现提出了重要的问题:什么是应用程序开发安全性?是什么在推动“安全左移”和开发安全需求的快速增长?
什么是应用开发安全
首先,开发安全是通过查找和修复漏洞来增强应用程序的防御能力。顾名思义,此过程通常发生在应用程序投入生产环境之前的开发阶段。但也可能在所有者部署了这些应用程序之后发生。
测试应用程序开发安全性的方法有很多,统称为应用程序安全性测试(AST),主要有以下三大类:
-
静态应用程序安全性测试(SAST):在这种类型的Web应用程序安全性测试中,安全专家对应用程序的体系结构有一些了解。他们可以利用这些知识来报告源代码中的弱点。
-
动态应用程序安全测试(DAST):与SAST相反,DAST假定测试人员不了解应用程序的代码。其目的是在特定应用程序的运行状态中查找潜在的缺陷。
-
交互式应用程序安全性测试(IAST):此方法将SAST和DAST结合在一起,成为一种混合方法。
根据Verocode发布的《2020年软件安全现状报告》,结合使用多种扫描类型(包括静态分析(SAST)、动态分析(DAST)和软件组成分析(SCA))的团队可以提高修复率。那些同时使用SAST和DAST的人可以把漏洞修复工作缩短24天。而在SDLC中进行自动化安全测试比非自动化测试发现半数漏洞的速度要快17.5天。
总之,用于软件安全测试的(自动化)工具需要与研发团队现有的研发流程和安全实践匹配融合,并具备与研发管理平台融合的能力。
为什么需要应用程序开发安全性?
对应用程序开发安全性的需求不断增长反映了两个持续的趋势。
-
世界正变得越来越移动化。企业和其他组织对其用户进行了投资,使他们能够通过各种设备上的移动应用程序与他们的服务进行交互。在此过程中,他们需要具备相应开发安全技能的人员来保护这些移动应用程序,以确保为其越来越多的用户提供一致且安全的移动性能。
-
应用程序漏洞削弱了开发者和用户之间的信任。总体而言,漏洞在移动应用程序中很常见。一项针对2020年iOS和Android应用的研究发现,近四分之三的移动应用程序都没有通过基本的安全测试。在接受调查的这些应用中,超过五分之四(83%)至少有一个漏洞,有91%的iOS应用和95%的Android应用都报告了漏洞。
(编辑:甘孜站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
