高效修复是确保应用程序安全的关键之处
企业战略集团网络安全实践总监Melinda Marks表示,只有一半的组织能够确保软件供应链安全,这意味着其他的企业面临着遭受恶意攻击的风险,比如恶意软件、勒索软件和数据盗窃等。
当风险涉及到重要性能指标时,有效修复应用程序中的漏洞将弥缝其阙。报告显示,在过去一年中,能够确保软件供应链安全的公司,没有遇到任何与内部开发应用程序中的软件漏洞,或与Web应用程序漏洞相关的严重安全事件。
应用程序存安全隐患易引发业务风险
现代软件往往涉及多个供应商、开源软件及开发团队的参与,若软件供应链中的任何一个环节出现问题,都可能会导致软件系统出现安全漏洞和问题,从而给组织带来巨大的损失。
85%的受访者表示应用程序安全性是董事会级别优先关注的事项。在过去一年中,被调研的组织平均经历至少3次由软件漏洞导致的安全事件,而70%的组织至少遭遇过一次由软件漏洞引起的严重安全事件,造成包括应用程序停机(46%)、未经授权访问应用程序或数据(38%)、恶意软件(34%)和数据丢失(34%)等不同后果。
因此,无论是企业还是软件开发商,都应重视软件供应链安全问题,并采取必要的措施来加强治理。
软件开发治理的有效方案
调查结果显示,与未制定系统化软件供应链管理方案的组织相比,能够有效修复关键漏洞的组织具有精准的安全治理策略。
● 更全面地采用DevOps。有能力高效修复漏洞的组织,已广泛采用DevOps的比例是其他组织的两倍多。
● 更广泛地实施DevSecOps。实现流程自动化的安全治理,在软件部署到生产环境之前自动识别、修复配置与软件漏洞。
● 区分开源漏洞的优先级。有能力高效修复漏洞的组织,可以识别判断什么漏洞是“必须修复”的。
● 了解代码中的内容。能够高效修复漏洞的组织也同样认为解答有关其代码的问题(例如其来源)至关重要。
Mend.io 首席执行官Rami Sass说:“随着企业对其开发流程实现自动化以提高生产力,软件安全性必须跟上步伐。那些采用DevOps、现代自动化安全流程、优先解决高危开源漏洞,并了解其代码中的内容的组织,具有更强大的应用程序风险管控能力。
京公网安备 11010802033237号
