当前位置:首页 > 真空浇注设备
JFrog与IDC 合作研究显示:研发人员在软件安全方面耗时日益增加影响公司竞争优势
时间:2024-11-24 22:39:09    来源:真空浇注设备    点击次数:
功能介绍

  IDC信息简报聚焦“DevSecOps的隐性成本”,揭示企业每年为每位研发人员平均花费约2.8万美元,用于识别、评估和解决软件安全问题

  2024年10月14日-流式软件公司、JFrog软件供应链平台的缔造者JFrog发布的一项IDC调查的最终结果显示,研发人员在安全相关任务(如手动应用程序扫描审查、上下文切换和机密信息检测等项目)上的耗时明显地增加,企业每年为每位研发人员在此类任务上的投入高达2.8万美元。由JFrog赞助的IDC信息简报《DevSecOps的隐性成本:研发人员的时间评估 》显示,50%的高级研发人员、团队领导、产品负责人和开发经理每周花费在软件安全相关任务上的时间明显地增加,这影响了他们创新、构建和交付新业务应用程序的能力。

  JFrog Security首席技术官Asaf Karas表示:“在确保软件供应链安全方面,企业本就已经面临巨大的挑战,如果还要使用多种工具,情况就会变得更复杂,迫使研发人员在多个线上工作环境之间经常性更换,以此来降低工作效率,在增加时间成本的同时也导致风险增加。IDC的调查为企业投资于更精简的安全流程、工具和培训提供了有力的论据,这些投资将有利于其研发人员更高效、更有力地保护软件供应链。”

  调查报告中,半数受访对象表示,他们每周约有19%的时间用于处理安全相关任务,而且很多时候是在正常上班时间之外,这就可能会导致他们对软件安全采取被动而非主动的举措。IDC调查的其他主要发现包括:

  ●追影逐迹:消除误报:研发人员平均花费3.5小时手动审查安全扫描结果,以排除误报和重复项。

  ●上下文至关重要:69%的研发人员同意或非常同意,他们的安全相关职责要求他们在各种工具之间经常性更换上下文,以此来降低了工作效率。而由于需要绕过每个工具平台的重新验证,多工具上下文切换也会增加令牌的使用。令牌对应用程序开发很有帮助,但也可能被遗忘在工作流中,从而在公司的系统中留下可供攻击者利用的安全隐患。

  ●密钥管理绝非易事:研发人员将50%的时间用于解析密钥扫描结果、修改代码以修复发现的问题,以及更新密钥管理措施。

  ●基础设施调查:基础设施即代码(IaC)用于自动配置和管理服务器、网络、操作系统和存储等IT基础设施,须在每次代码更改时对其进行扫描,超过54%的研发人员表示他们每周或每月运行一次IaC扫描。

  ●SAST并非万无一失:尽管静态应用安全测试(SAST)工具已被集成到本地开发环境中,可在研发人员编写代码时提供测试结果,但只有23%的研发人员在将代码部署到生产环境之前运行SAST扫描,这就为恶意代码的潜入留下了巨大的隐患。

  IDC DevSecOps和软件供应链安全研究经理Katie Norton表示:“DevSecOps不仅是企业的当务之急,也是构建未来安全应用程序的基石。然而,如何克服那些效率低下、应用不当的工具带来的挑战,避免它们耗费研发人员的时间并增加成本,是行业面临的一大难题。要想取得成功,IT和软件开发团队的领导者必须将重复耗时的任务自动化,确保DevSecOps工具能以极低的误报率实现精准交付,并为研发人员提供持续的应用安全教育和资源,使其能够时刻关注日益严峻的威胁态势。”

  IDC信息简报的调查对向包括来自美国、英国、法国和德国的20多家员工规模在千人以上的公司的高级研发人员、团队管理者、产品负责人和开发经理。

  JFrog Ltd.的使命是创造一个从研发人员到设备之间畅通无阻的软件交付世界。秉承“流式软件”的理念,JFrog软件供应链平台是统一的记录系统,帮企业快速安全地构建、管理和分发软件,确保软件可用、可追溯和防篡改。集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog的混合、通用、多云平台可当作跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7200多名客户,包括大多数财富100强企业,依靠JFrog解决方案安全地开展数字化转型。一用便知!


推荐产品

Copyright 安博电竞app官网|安博体育官网人口查询|安博体育官网人口数据查询 All Rights Reserved    备案号:粤ICP备13084341号-7 网站地图