2024年全球DevSecOps現狀調查 -Black Duck對軟件安全測試的洞察與趨勢分析

2024年全球BlackDuck對軟件安全測試的 1關于BlackDuck 1 2 2保護AI生成的代碼和保護開源代碼之間的相似之 2 2 3 32024年全球DevSecOps現狀調查詳解 4 4 4 4 5 5 5哪個團隊/部門決定何時運行安全測試 6 7 7 7blackduckblackduck.com 8 8 10 12 12 12 12 14 14 14 15 15 15 16 17 19 blackduck.com《2024年全球DevSecOps現狀調查報告》中的調查結果基于BlackDuck?委托國際市場研究咨詢公司Censuswide進行的一項全面調查。該調查涵蓋了多關于BlackDuckBlackDuck前身為SynopsysSoftwareIntegrityGroupblackduck.com|1進行優(yōu)先級排序（37%的受訪者同時也強調行業(yè)最佳實踐(36%)和增加對自動安全測試工具的使用(35%)。為自信的受訪者不足1/4。軟件開發(fā)團隊對AI輔助編碼的快速采用與開源軟件使41%24%托管開源代碼和AI生成的代碼都可能造成IP所有權和許可方面產生歧義，尤其是當AI模型使用的數據集中可能包含開源或沒有歸屬41%24%20%20%6%6%blackduckblackduck.com|2以下幾個主要趨勢將共同塑造DevSecOps的發(fā)展道路：構將有很大的機會來改進其DevSecOps實踐。blackduck.com|blackduck.com|3我們對1,000多名安全專業(yè)人員開展的調查揭示出一種不斷變化的狀態(tài)：2024年全球在近期對1,300我們對1,000多名安全專業(yè)人員開展的調查揭示出一種不斷變化的狀態(tài)：2024年全球應用所訪問/傳輸信息的敏感性37%安全測試的易配置性或自動化程度應用所訪問/傳輸信息的敏感性37%安全測試的易配置性或自動化程度35%blackduckblackduck.com|430%26%29%38%22%6%4%blackduckblackduck.com|535%大約35%35%大約35%的組織在其安全測試隊列41%–60%37%61%–80%21%哪個團隊/部門決定何時運行安全測試安全安全44%開發(fā)/軟件工程42%DevOps37%質量保證34%合規(guī)28%跨職能小組21%法務19% blackduck.comblackduck.com|682%82%的組織使用了82%82%的組織使用了6到20種安全合規(guī)(28%)和法務(19%)團隊的參與表明監(jiān)管和法律要求是許多組織安全34%33%34%33%15%82%6–1011–1516–20Total其他測試/工具沖突。21%–40%41%–60%30%30%60%blackduck.comblackduck.com|743%21%94%30%39%26%4%2%97%26%46%26%2%2%92%26%41%25%6%2%94%20%50%24%6%1%93%27%51%14%5%2%97%35%50%12%3%0%96%37%37%22%2%2%60%26%45%25%3%1%blackduckblackduck.com|891%應用/軟件開發(fā)銀行/金融電信/ISP非營利組織/協會98%85%84%98%41%24%20%85%4%6%5%100%95%90%92%87%97%75%96%90%50%90%90%blackduckblackduck.com|953%50%45%50%45%42%40%38%36%40%38%36%33%30%22%22%22%20%20%20%9%7%7%7%5%4%2%0%4%2%0%27%27%的組織43%的組織<5%的組織21%的組織blackduckblackduck.com|1053%50%45%42%53%50%45%42%38%40%36%33%30%38%40%36%33%30%22%22%20%20%22%22%20%20%9%7%7%7%5%4%2%5%4%2%0%<5%的組織27%的組織43%的組織21%的組織blackduckblackduck.com|1120%37%37%AppSec開發(fā)/工程23%21%AppSec開發(fā)/工程可能是因為高級人員比普通工作人員擁有更豐ChinaSingaporeChinaSingaporeFinlandGermanyFranceU.S.Japan88%83%82%76%73%71%55%51%blackduckblackduck.com|12手動分析和清理所有工具生成的結果38%自動分析和清理所有工具生成的結果28%手動分析和清理所有工具生成的結果38%自動分析和清理所有工具生成的結果28%圖3.審查方法對理解測試結果和據此采取行動圖3.審查方法對理解測試結果和據此采取行動自動審查所有結果手動審查所有結果混合審查方法blackduckblackduck.com|13Q13.Q13.下面哪句話最恰當地描述了應用安全測試與軟件開發(fā)/交付之應用安全測試嚴重減緩了軟件開發(fā)/交付速度18%應用安全測試輕微減緩了軟件開發(fā)/交付速度25%應用安全測試中度減緩了軟件開發(fā)/交付速度43%總計86%這些統計數據強調了將安全性無縫集成到快AppSec團隊情緒最大，認為測試中度或嚴重阻礙了開發(fā)/交付管道(圖4.AppSec和開發(fā)/工程人員對于安全測試對軟件開發(fā)/交付的影響有著不同的認知0AppSec開發(fā)/工程不會減緩軟件開發(fā)/交付速度輕微減緩軟件開發(fā)/交付速度中度減緩軟件開發(fā)/交付速度嚴重減緩軟件開發(fā)/交付速度缺乏足夠的了解blackduck.comblackduck.com|1416%的開發(fā)/工程人員和19%的安全人員認為開發(fā)速度受到了嚴重影響。Q10.下面哪句話最恰當地描述了貴手動對問題修復分配優(yōu)先級43%發(fā)現安全問題后會發(fā)生什么?防止代碼簽入SCM/存儲庫32%對分類和修復工作分配優(yōu)先級32%防止已編譯的資產添加到二進制存儲庫中30%阻止軟件開發(fā)進入預生產和生產階段28%宣告構建失敗24%blackduck.comblackduck.com|15泛的DevSecOps原則相一致。(32%)使用手動方法分配問題。DevSecOps泛的DevSecOps原則相一致。(32%)使用手動方法分配問題。DevSecOps原則相一致。Q12.貴組織采用以下哪種方法將應用安全問題告知開發(fā)人員/軟件工程使用問題管理工具內置的自動告警/任務分配系統42%40%39%35%32%36%blackduckblackduck.com|1649%b超過60%超過49%b超過60%blackduckblackduck.com|17?考慮實施具有內置安全策略的基礎架構即代碼(?靜態(tài)應用安全測試(SAST)對于在開發(fā)過程早期階段識別編碼缺陷非常您將在塑造DevSecOps的未來中扮blackduckblackduck.com|18應用/軟件開發(fā)銀行/金融電信/ISP非盈利機構/協會18%11%20%10%6%3%6%7%4%4%2%2%3%2%0.5%1%0.5%InfoSecAppSec開發(fā)/工程16%17%14%11%22%13%4%2%1%12%13%13%13%12%12%12%13%不到不到1004%100–50011%501–1,00013%1,001–2,00016%2,001–5,00017%5,001–10,00018%10,001–15,00010%15,001–50,0007%50,001–100,00014%blackduckblackduck.com|19最多20%21%–40%41%–60%61%–80%81%–100%4.86%23.39%36.77%20.52%8.72%5.75%15.46%4.16%2.87%29.53%25.77%22.20%開發(fā)/軟件工程44.00%42.22%36.57%33.99%28.15%21.01%19.43%1.39%28.74%22.40%38.35%4.36%6.14%應用所訪問/傳輸信息的敏感性29.34%30.82%35.88%35.38%34.99%33.99%33.70%32.80%36.77%2.78%blackduckblackduck.com|20Q10.下面哪句話最恰當地描述了貴1–56–1011–1516–2021+9.32%33.50%33.30%14.57%3.87%5.45%安全測試結果非常容易理解和據此采取行動20.22%安全測試結果比較容易理解和據此采取行動52.03%安全測試結果比較難以理解和據此采取行動17.54%安全測試結果非常難以理解和據此采取行動4.26%我不參與應用安全測試結果的分析或行動5.95%38.06%28.05%25.27%5.35%3.27%其他測試/工具沖突。0%–20%21%–40%41%–60%61%–80%81%–100%15.06%30.23%30.23%14.87%2.78%6.84%42.