流式软件公司、JFrog 软件供应链平台的缔造者JFrog(纳斯达克股票代码:FROG)发布的一项 IDC 调查结果显示,开发人员在安全相关任务(如手动应用程序扫描审查、上下文切换和机密信息检测等项目)上的耗时显著增加,企业每年为每位开发人员在此类任务上的投入高达2.8万美元。由 JFrog 赞助的 IDC信息简报《DevSecOps 的隐性成本:开发人员的时间评估 》显示,50% 的高级开发人员、团队领导、产品负责人和开发经理每周花费在软件安全相关任务上的时间显著增加,这影响了他们创新、构建和交付新业务应用程序的能力。
JFrog Security首席技术官Asaf Karas表示:“在确保软件供应链安全方面,企业本就已经面临巨大的挑战,如果还要使用多种工具,情况就会变得更加复杂,迫使开发人员在多个线上工作环境之间频繁切换,从而降低工作效率,在增加时间成本的同时也导致风险增加。IDC的调查为企业投资于更精简的安全流程、工具和培训提供了有力的论据,这些投资将有助于其开发人员更高效、更有力地保护软件供应链。”
调查报告中,半数受访对象表示,他们每周约有19% 的时间用于处理安全相关任务,而且很多时候是在正常工作时间之外,这就可能会导致他们对软件安全采取被动而非主动的举措。IDC 调查的其他主要发现包括:
●追影逐迹: 消除误报: 开发人员平均花费3.5小时手动审查安全扫描结果,以排除误报和重复项。
●上下文至关重要: 69% 的开发人员同意或非常同意,他们的安全相关职责要求他们在各种工具之间频繁切换上下文,从而降低了工作效率。而由于需要绕过每个工具平台的重新验证,多工具上下文切换也会增加令牌的使用。令牌对应用程序开发很有帮助,但也可能被遗忘在工作流中,从而在公司的系统中留下可供攻击者利用的安全隐患。
●密钥管理绝非易事: 开发人员将 50% 的时间用于解析密钥扫描结果、修改代码以修复发现的问题,以及更新密钥管理措施。
●基础设施调查: 基础设施即代码(IaC)用于自动配置和管理服务器、网络、操作系统和存储等 IT 基础设施,须在每次代码更改时对其进行扫描,超过 54% 的开发人员表示他们每周或每月运行一次 IaC 扫描。
●SAST 并非万无一失: 尽管静态应用安全测试(SAST)工具已被集成到本地开发环境中,可在开发人员编写代码时提供测试结果,但只有 23% 的开发人员在将代码部署到生产环境之前运行 SAST 扫描,这就为恶意代码的潜入留下了巨大的隐患。
IDC DevSecOps 和软件供应链安全研究经理 Katie Norton表示:“DevSecOps 不仅是企业的当务之急,也是构建未来安全应用程序的基石。然而,如何克服那些效率低下、应用不当的工具带来的挑战,避免它们耗费开发人员的时间并增加成本,是行业面临的一大难题。要想取得成功,IT 和软件开发团队的领导者必须将重复耗时的任务自动化,确保 DevSecOps 工具能以极低的误报率实现精准交付,并为开发人员提供持续的应用安全教育和资源,使其能够时刻关注日益严峻的威胁态势。”