漏洞減少50%!在開發生命週期中持續實施安全檢測的優勢

Wabbi與IDG的一項新研究發現，實踐持續安全的公司將漏洞減少了50%。

該研究側重於開發與安全的整合以及持續實踐安全的好處。參與人員包括IT和安全部門的負責人、軟體/應用程式開發經理和主管。資料探討了整個軟體開發生命週期 (SDLC) 中整合安全性的優先事項和趨勢。主要發現有：

IT/安全負責人認識到整合安全的價值

隨著攻擊的種類和數量每天都在增加，建立針對所有潛在風險的防禦成為難題。更重要的是，成功的衡量標準可以根據企業的優先順序而有所不同。然而，SDLC中安全性整合的重要性是顯而易見的：98%的受訪者高度重視在整個開發生命週期中整合安全性，但只有15%的受訪者表示從開發生命週期開始就始終整合安全。

SDLC中缺乏安全性整合導致專案延遲(72%)、財務損失(63%)和/或品牌聲譽受損(57%)。然而，組織明白整合安全的好處不僅僅是減少入侵：70%的受訪者實際上認為提高生產率是安全整合的最大好處，其次是節省成本和減少安全漏洞，67%的受訪者如此表示。

Wabbi的執行長Brittany Greenfield說表示“為了克服開發和安全之間的間隙，必須在整個開發生命週期中整合安全性。”“報告結果表明，團隊已經在文化意識上理解了整合安全的重要性，但仍需要進行結構性工作來實施持續的安全方法，以交付更安全的程式碼，減少漏洞缺陷、避免延遲上線、降低經濟損失、避免業務中斷。”

採用自動化的組織可以避免瓶頸

對於此次調查的受訪者來說，當前的應用程式安全流程產生了瓶頸：53%的受訪者表示“在一定程度上”發生了瓶頸，而47%的受訪者表示“在很大程度上”存在瓶頸。造成瓶頸的首要原因是DevOps 和安全團隊之間的協作不足(72%)，其次是由於複雜的文件而難以確定正確的專案和特性級安全需求(71%)，以及SDLC/ CI/CD中缺乏安全流程編排(68%)。

實施持續安全以增強開發團隊的能力

儘管只有31%的受訪者在開發團隊中增加了對應用安全性的檢測，但外界並不知道的是，在過去一年中，他們釋出具有安全漏洞的應用程式從73%變為50%，並且在SDLC的規劃階段提出安全需求和反饋的機率從16%變為48%。可以看出，在實施持續安全性檢測後，不但提高了釋出的應用軟體安全性，而且增加了團隊在安全方面的能力。

受訪者將授權開發團隊實施安全 (73%)、支援實時協作 (72%) 和降低安全風險 (70%) 列為持續安全策略的最大潛在好處。

22%的人表示正在試行一項持續的安全策略，其中46%的人計劃在明年採用這一策略。那些完全採用持續安全的公司能夠利用整合、自動化和反饋迴圈來 治理安全漏洞。對於那些還沒有完全實現的人來說，實施持續安全不一定是一個複雜的過程，只要有一個適當的流程，組織就可以實施持續的安全性來增強開發團隊的能力、實現實時協作並降低安全風險。