Veracode公佈的使用資料顯示，網路安全正變得更加自動化和元件化，與現代軟體架構和開發實踐相一致。

對2020年9月至2021年10月的這13個月期間5,446,170次靜態掃描和超過310,000個應用程式的分析發現，API和微服務等小型應用程式的數量驚人地增長了143%，透過API而不是手動執行的自動掃描增長了133%。

在過去的18個月裡，COVID-19加速了數字化轉型，企業正在積極加速數字化轉型，搶先推出數字產品和服務。

開發人員要比以往更快地構建和部署軟體的壓力促使了向DevSecOps的轉變——將開發、安全性和運維整合在一起，使應用安全性成為軟體生命週期中不可分割的一部分。終於，公司開始應用AppSec控制元件來確保開發過程的完整性，並在整個企業範圍內擴充套件DevSecOps管道模式。

Veracode技術長Chris Wysopal表示：“隨著企業將人工智慧和機器學習用於缺陷識別、威脅建模和修復，軟體開發中自動化和元件化的興起推動了軟體安全的速度和自動化的急劇增加。”可以看到，DevSecOps迅速成熟。

除了自動化的上升軌跡外，Veracode還發現所分析程式碼的複雜性和大小呈下降趨勢，每次掃描掃描的平均模組數量減少30%就證明了這一點，這表明轉向掃描單個元件或微服務。考慮到元件化應用程式和DevOps實踐的迅速採用，這並不奇怪。

透過將大型應用程式分解成可重用的小元件(或微服務)，開發人員可以以更敏捷的方式進行快速迭代，並以增量方式持續交付。有趣的是，api優先開發的興起實際上提高了軟體安全性，當對api或微服務使用靜態分析時，修復缺陷的平均時間減少了大約50%。API掃描還使組織能夠儘早、有效地發現和修復API中的漏洞。

隨著現代軟體開發實踐的成本和複雜性不斷上升，企業將越來越需要一個全面的、完全整合的安全平臺。該平臺支援普遍或持續的安全性，因為它：

從威脅建模的設計階段開始，確保僅將安全元件納入設計。這將安全性進一步轉移，甚至因此DevSecOps變成了SecDevOps，確保軟體“設計安全”。

完全整合，但也對新技術外掛開放，以提供全面的覆蓋分析程式碼的每一個可能的維度。這種“單一管理平臺”方法使安全專業人員和開發人員能夠了解風險、確定修復工作的優先順序，並跨多個維度定義和監控進度目標。

提供順暢的開發人員體驗，使安全分析能夠滿足開發人員的工作需求——在IDE(整合開發環境)、CI/CD(持續整合持續開發)管道、程式碼和容器儲存庫以及缺陷跟蹤系統中。

Wysopal補充道：“最近備受矚目的攻擊，例如Solar Winds駭客攻擊，已經讓軟體供應鏈的漏洞成為人們關注的焦點。” “企業現在尋求軟體安全的下一次進化，以求安心。

這意味著提供持續編排的保證，例如策略定義和管理，具有‘自修復’能力的內聯修復，以及突出顯示隨著底層元件更改時引入的任何缺陷。”

考慮到軟體漏洞的發展速度，最近證明的Log4j 2.x中的0day漏洞仍在被利用，持續安全和進一步向左移動的重要性不容小覷。而在開發中進行 靜態程式碼檢測以提前發現缺陷及漏洞，已成為確保軟體安全不可或缺的一部分。

參讀連結：

https://www.helpnetsecurity.com/2021/12/20/cybersecurity-software-development/

進一步向左轉移安全性：DevSecOps是否將變成SecDevOps?

相關文章