Help net security發佈了一篇組織故意發布易受攻擊的應用程式
根據Checkmarx的報告,92%的公司在過去一年中因內部開發的應用程式漏洞而遭受過入侵。近年來,應用程式安全的責任已從專門的安全團隊轉移到AppSec經理和開發人員之間共同承擔。
調查顯示,91%的公司有意釋出存在漏洞的應用程式。為什麼會這樣呢?其中一個原因是業務壓力,29%的AppSec經理表示他們釋出應用程式是為了“達到業務、功能或安全相關的截止日期”,18%的CISO表示他們希望該漏洞不會被利用,29%的開發人員表示該漏洞將在後續版本中修復。
開發人員的前三個安全關切點集中在交付時間需求和可能需要修復的漏洞數量之間的緊張關係,包括安全需求對開發過程的阻礙、不知道應該修復哪些漏洞以及如何優先處理它們,以及缺乏幫助修復漏洞的上下文。
為了解決應用程式安全中的差距,必須在開發人員的工作流程中無縫集成開發人員友好的AppSec工具。應用程式的組成變得越來越複雜,包括源代碼、開源套件、基礎設施即代碼(IaC)、容器等。這種複雜性的指數級增加是需要組織在整個軟件開發生命周期中進行掃描的主要原因。
總之,我們需要一個全面的AppSec平台,以應對這些問題,讓所有相關的團隊都能夠建立DevSecTrust,即AppSec和開發人員之間的合作和信任狀態。
詳情請看: