JFrog與IDC 合作研究顯示：開發(fā)人員在軟件安全方面耗時(shí)日益增加，影響企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)

IDC信息簡(jiǎn)報(bào)聚焦“DevSecOps的隱性成本”，揭示企業(yè)每年為每位開發(fā)人員平均花費(fèi)約2.8萬美元，用于識(shí)別、評(píng)估和解決軟件安全問題

2024年10月14日-流式軟件公司、JFrog軟件供應(yīng)鏈平臺(tái)的締造者JFrog(納斯達(dá)克股票代碼：FROG)發(fā)布的一項(xiàng)IDC調(diào)查結(jié)果顯示，開發(fā)人員在安全相關(guān)任務(wù)(如手動(dòng)應(yīng)用程序掃描審查、上下文切換和機(jī)密信息檢測(cè)等項(xiàng)目)上的耗時(shí)顯著增加，企業(yè)每年為每位開發(fā)人員在此類任務(wù)上的投入高達(dá)2.8萬美元。由JFrog贊助的IDC信息簡(jiǎn)報(bào)《DevSecOps的隱性成本：開發(fā)人員的時(shí)間評(píng)估 》顯示，50%的高級(jí)開發(fā)人員、團(tuán)隊(duì)領(lǐng)導(dǎo)、產(chǎn)品負(fù)責(zé)人和開發(fā)經(jīng)理每周花費(fèi)在軟件安全相關(guān)任務(wù)上的時(shí)間顯著增加，這影響了他們創(chuàng)新、構(gòu)建和交付新業(yè)務(wù)應(yīng)用程序的能力。

JFrog Security首席技術(shù)官Asaf Karas表示：“在確保軟件供應(yīng)鏈安全方面，企業(yè)本就已經(jīng)面臨巨大的挑戰(zhàn)，如果還要使用多種工具，情況就會(huì)變得更加復(fù)雜，迫使開發(fā)人員在多個(gè)線上工作環(huán)境之間頻繁切換，從而降低工作效率，在增加時(shí)間成本的同時(shí)也導(dǎo)致風(fēng)險(xiǎn)增加。IDC的調(diào)查為企業(yè)投資于更精簡(jiǎn)的安全流程、工具和培訓(xùn)提供了有力的論據(jù)，這些投資將有助于其開發(fā)人員更高效、更有力地保護(hù)軟件供應(yīng)鏈。”

調(diào)查報(bào)告中，半數(shù)受訪對(duì)象表示，他們每周約有19%的時(shí)間用于處理安全相關(guān)任務(wù)，而且很多時(shí)候是在正常工作時(shí)間之外，這就可能會(huì)導(dǎo)致他們對(duì)軟件安全采取被動(dòng)而非主動(dòng)的舉措。IDC調(diào)查的其他主要發(fā)現(xiàn)包括：

●追影逐跡：消除誤報(bào)：開發(fā)人員平均花費(fèi)3.5小時(shí)手動(dòng)審查安全掃描結(jié)果，以排除誤報(bào)和重復(fù)項(xiàng)。

●上下文至關(guān)重要：69%的開發(fā)人員同意或非常同意，他們的安全相關(guān)職責(zé)要求他們?cè)诟鞣N工具之間頻繁切換上下文，從而降低了工作效率。而由于需要繞過每個(gè)工具平臺(tái)的重新驗(yàn)證，多工具上下文切換也會(huì)增加令牌的使用。令牌對(duì)應(yīng)用程序開發(fā)很有幫助，但也可能被遺忘在工作流中，從而在公司的系統(tǒng)中留下可供攻擊者利用的安全隱患。

●密鑰管理絕非易事：開發(fā)人員將50%的時(shí)間用于解析密鑰掃描結(jié)果、修改代碼以修復(fù)發(fā)現(xiàn)的問題，以及更新密鑰管理措施。

●基礎(chǔ)設(shè)施調(diào)查：基礎(chǔ)設(shè)施即代碼(IaC)用于自動(dòng)配置和管理服務(wù)器、網(wǎng)絡(luò)、操作系統(tǒng)和存儲(chǔ)等IT基礎(chǔ)設(shè)施，須在每次代碼更改時(shí)對(duì)其進(jìn)行掃描，超過54%的開發(fā)人員表示他們每周或每月運(yùn)行一次IaC掃描。

●SAST并非萬無一失：盡管靜態(tài)應(yīng)用安全測(cè)試(SAST)工具已被集成到本地開發(fā)環(huán)境中，可在開發(fā)人員編寫代碼時(shí)提供測(cè)試結(jié)果，但只有23%的開發(fā)人員在將代碼部署到生產(chǎn)環(huán)境之前運(yùn)行SAST掃描，這就為惡意代碼的潛入留下了巨大的隱患。

IDC DevSecOps和軟件供應(yīng)鏈安全研究經(jīng)理Katie Norton表示：“DevSecOps不僅是企業(yè)的當(dāng)務(wù)之急，也是構(gòu)建未來安全應(yīng)用程序的基石。然而，如何克服那些效率低下、應(yīng)用不當(dāng)?shù)墓ぞ邘淼奶魬?zhàn)，避免它們耗費(fèi)開發(fā)人員的時(shí)間并增加成本，是行業(yè)面臨的一大難題。要想取得成功，IT和軟件開發(fā)團(tuán)隊(duì)的領(lǐng)導(dǎo)者必須將重復(fù)耗時(shí)的任務(wù)自動(dòng)化，確保DevSecOps工具能以極低的誤報(bào)率實(shí)現(xiàn)精準(zhǔn)交付，并為開發(fā)人員提供持續(xù)的應(yīng)用安全教育和資源，使其能夠時(shí)刻關(guān)注日益嚴(yán)峻的威脅態(tài)勢(shì)。”

IDC信息簡(jiǎn)報(bào)的調(diào)查對(duì)向包括來自美國、英國、法國和德國的20多家員工規(guī)模在千人以上的公司的高級(jí)開發(fā)人員、團(tuán)隊(duì)管理者、產(chǎn)品負(fù)責(zé)人和開發(fā)經(jīng)理。

###

關(guān)于JFrog

JFrog Ltd.(納斯達(dá)克股票代碼：FROG)的使命是創(chuàng)造一個(gè)從開發(fā)人員到設(shè)備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念，JFrog軟件供應(yīng)鏈平臺(tái)是統(tǒng)一的記錄系統(tǒng)，幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件，確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補(bǔ)救。JFrog的混合、通用、多云平臺(tái)可以作為跨多個(gè)主流云服務(wù)提供商的自托管和SaaS服務(wù)。全球數(shù)百萬用戶和7200多名客戶，包括大多數(shù)財(cái)富100強(qiáng)企業(yè)，依靠JFrog解決方案安全地開展數(shù)字化轉(zhuǎn)型。一用便知!如欲了解更多信息，請(qǐng)?jiān)L問jfrogchina.com或者關(guān)注我們的微信官方賬號(hào)：JFrog捷蛙。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）