WhiteSource的一份新報告研究了開發(fā)人員在應(yīng)用程序安全方面的作用。開發(fā)人員使用哪些免費(fèi)工具，最適合這項(xiàng)工作？團(tuán)隊(duì)的哪一部分應(yīng)該處理AppSec？將您的公司與結(jié)果進(jìn)行比較，并查看研究揭示的見解。

安全問題仍然是開發(fā)人員的首要考慮。WhiteSource的最新報告研究了應(yīng)用程序安全性背后的復(fù)雜性以及開發(fā)人員如何處理AppSec。

隨著DevOps變得越來越成熟，出現(xiàn)了新的安全問題。我們?nèi)绾胃纳艫ppSec？去年，當(dāng)我們在DevOpsCon與Tim Mackey交談時，他討論了開發(fā)人員在應(yīng)用程序安全方面面臨的一些挑戰(zhàn)。Mackey預(yù)測，隨著時間的流逝，安全性披露的速度將會增加，并且Web服務(wù)API會引入新的風(fēng)險狀況。（他提供的最大建議？當(dāng)發(fā)現(xiàn)安全問題時，請進(jìn)行報告。）

開發(fā)人員使用哪些工具，最適合該工作的工具？團(tuán)隊(duì)的哪一部分應(yīng)處理應(yīng)用程序安全性？讓我們看看WhiteSource報告，看看它提供了哪些好處。

開發(fā)人員的安全

應(yīng)用程序安全性是誰的工作？分歧的共識揭示了DevOps，安全團(tuán)隊(duì)，開發(fā)人員和軟件開發(fā)團(tuán)隊(duì)負(fù)責(zé)人之間的重疊答案。隨著DevOps的到來，許多團(tuán)隊(duì)都向左移動，從而使開發(fā)人員可以更好地控制應(yīng)用程序安全性的處理方式。

大多數(shù)開發(fā)人員回答說，他們在開發(fā)軟件時會考慮安全性。只有3％的受訪者表示，他們不關(guān)心安全性，因?yàn)檫@會使他們的流程變慢。58％的開發(fā)人員回答說，安全性是他們在軟件開發(fā)過程中的第一要務(wù)。

一旦發(fā)現(xiàn)安全問題，誰來補(bǔ)救？開發(fā)人員經(jīng)常這樣做。該研究稱：“開發(fā)人員對他們在應(yīng)用程序安全性方面扮演更實(shí)質(zhì)性的領(lǐng)導(dǎo)角色的期望越來越高，但缺乏這樣做的必要工具?！?/span>

一些開發(fā)人員花費(fèi)大量時間進(jìn)行補(bǔ)救。33％的受訪者每月花費(fèi)12到36個小時進(jìn)行補(bǔ)救。

公司還重視對開發(fā)人員的安全培訓(xùn)，并進(jìn)行投資以確保開發(fā)人員處于其安全游戲的頂端。36％的受訪者表示，他們的公司提供了安全培訓(xùn)，以幫助他們更好地編碼。

AppSec工具和開源

工具如何集成到工作流程中？

據(jù)報道，有68％的開發(fā)人員至少使用以下技術(shù)之一：SAST，DAST，SCA，IAST和RASP。

根據(jù)該報告，現(xiàn)在有34％的開發(fā)人員實(shí)現(xiàn)了自動軟件組成分析（SCA）工具，以檢測具有已知漏洞的開源組件。28％的團(tuán)隊(duì)每年使用掃描掃描儀進(jìn)行一次或兩次軟件審查。

開發(fā)人員使用最多的免費(fèi)安全工具：

• GitHub安全警報： 36％

• OWASP依賴性檢查： 27％

• 白源螺栓： 23％

• 斯尼克： 17％

• 護(hù)盾： 7％

開發(fā)人員如何找到最佳的開源工具并將最佳的工具與其他工具分開？北美受訪者檢查的主要參數(shù)與開源安全工具有關(guān)：

• 已知漏洞： 50％

• 開源許可證： 41％

• 同事和網(wǎng)站的反饋： 40％

• 版本更新： 39％

• 活躍社區(qū)： 32％