ESG：现代应用程序开发安全（24页）.pdf

1、各种各样的 AppSec 测试工具正在投入使用随着应用程序安全日趋成熟，任何单一的测试技术都无法帮助开发团队降低全部安全风险。这就需要安全团队运用通常由多个供应商提供的多种工具来确保 SDLC 的安全。尽管使用情况各不相同，组织认为最重要的工具也有所不同，但大多数组织最终都会混合使用众多工具来满足他们的安全需求。随着新的开发和部署模型不断出现，为确保它们的安全性，新的测试工具应运而生。一些工具会融入到规模更大的测试平台中，而另一些则长期独立存在。尽管各种类型的测试工具已经存在多年，但采用程度还不理想。例如，尽管在现代应用程序开发中使用开源软件至关重要，但是目前报告使用针对开源安全测试工具的开发

2、团队仍然不足一半。虽然许多团队有这样的计划，但这一不确定的趋势也表明了当下众多公司目前对应用安全测试工具的采用情况。在某些情况下，更现代化的开发和部署模型会更早开始注重安全程度。在这里我们看到微服务容器开发在相对短的时间内已经得到了广泛采用，特定安全控制手段也随之而来。其他云开发和部署模型也采用了类似模式。已识别的安全问题归根结底需要由开发人员来解决，然而，大多数组织报告称目前工具使用所面临最普遍的挑战是：开发人员缺乏使用工具解决安全问题的知识。安全工具供应商会推出即时的培训或推荐修复方案来为开发人员提供指导，但是最终还是需要开发人员来完成这项工作。开发人员越能充分理解某些代码引入问题的方式和

3、原因就越能减少问题产生，因此为提供开发人员安全培训应当能逐步解决此类问题。还有一些组织在集成其它 AppSec 工具方面费尽心思，而大多数人还是担心 AppSec 添加的阻力会拖慢整个开发进程。大部分参与调查人员认为，如果项目能够获得成功最重要是得益于在整个 SDLC 中自动执行应用安全测试。DevOps 集成减少了阻力并尽早注重安全问题，可帮助组织尽早识别安全问题。尽管开发人员的培训与工具和流程的改进无疑也会改进项目，但自动化仍是现代应用程序开发实践的重中之重。持续改进安全计划要求衡量开发团队和单个开发人员引入问题的情况。稍多于 40% 的组织报告称，他们会同时追踪问题引入和持续改进指标，从而有针对性地改进那些引入问题最多的团队和单个开发人员。