調查發現軟體部署速度超越安全性

一項針對5,315名開發人員、IT運維人員和安全人員進行的調查發現,有三分之二(66%)的受訪者表示,他們的軟體發佈速度比一年前更快。

這項由市場研究公司Omdia代表GitLab進行的調查還發現,在參與調查的40%開發人員中,有24%表示他們至少每天將程式碼推送到生產環境一次,另有13%則是每天推送多次程式碼。

與此同時,超過四分之三(78%)的所有受訪者表示,他們目前已經在使用或計劃在未來兩年內採用人工智慧(AI)來協助開發軟體。超過一半(55%)的受訪者承認,將AI納入軟體開發生命週期存在風險,其中資料隱私和安全是最大的顧慮。

不幸的是,該調查也顯示,確保軟體安全的最佳實踐步伐仍然落後。調查發現,在從事安全工作的27%受訪者中,僅有38%報告已將應用程式安全責任轉移給開發人員,而且只有34%報告為開發人員提供安全培訓。

令人欣慰的是,另有32%的受訪者計劃在今年開始提供該培訓,而且超過四分之一(26%)目前使用AI進行應用程式開發的受訪者將改善安全列為AI的主要優勢之一。超過一半(52%)的受訪者表示,他們有興趣使用或計劃依賴AI解釋安全漏洞,以改善程式碼。

總體而言,超過三分之二(67%)的開發人員表示,他們工作的程式碼中有超過四分之一來自開源程式庫,而40%的受訪者報告,開源軟體元件佔他們應用程式程式碼的一半以上。然而,目前只有20%的受訪者所在的組織正在使用軟體材料清單(SBOMs)。

更令人擔憂的是,只有34%的受訪者報告使用動態應用程式安全測試(DAST)工具,其次是33%使用靜態應用程式安全測試(SAST)工具、29%使用容器掃描,以及24%使用密鑰檢測。

超過一半的安全受訪者還表示,他們很難讓開發團隊優先處理漏洞修復,而52%的受訪者報告,官僚作風常常會延緩他們快速修復漏洞的努力。

GitLab資訊安全長Josh Lemos表示,雖然在採用最佳DevSecOps流程方面取得了進展,但仍有許多工作要做。他補充說,隨著使用AI工具創建的程式碼量增加,應用程式安全只會成為更加迫切的問題。

建置軟體的步伐
Lemos表示,組織不應僅將應用程式安全視為DevOps工作流程中另一個關卡,而應盡可能為開發人員提供在編寫程式碼時解決安全問題所需的環境。

他指出,當然,挑戰在於找到方法持續建置更安全的軟體,同時不減緩軟體建置的速度。

每個組織自然需要為自己決定建置軟體的步伐。然而,隨著任何企業對軟體驅動收入的依賴程度越來越高,建置新應用程式以及持續更新現有應用程式的壓力只會不斷增加。