Почти половина компаний сознательно оставляет уязвимый код в ПО, чтобы побыстрее развернуть программы
01/12/20
Стремление к ускорению разработки и развертывания приложений превратилось из простой задачи разработчиков в приоритет бизнес-уровня, влияющий на чистую прибыль каждой компании. Для достижения данной цели организации перешли к модели DevSecOps, чтобы обеспечить повышенную «гибкость и скорость жизненного цикла разработки программного обеспечения».
Уязвимый код в ПО появляется чаще, чем следовало бы, однако почти в половине случаев это происходит вполне сознательно. По результатам исследования , проведенного специалистами из ESG, почти половина (48%) организаций регулярно выпускают уязвимый код и знают об этом.
Как выяснили эксперты, 54% компаний пытаются уложиться в критический срок, планируя исправить проблемы в более позднем выпуске, 49% — считают это вовсе не опасной проблемой, а 45% организаций запускают уязвимый код, потому что уязвимости были обнаружены слишком поздно в процессе разработки, чтобы можно было устранить их.
Таким образом, приоритет бизнеса, заключающийся в скорости разработки и развертывания, затмевает потребность в безопасном коде. Организации осознают различные риски, касающиеся кибербезопасности, скорости и бизнес-цели, и они готовы взять на себя некоторые из этих рисков, поскольку приоритеты противоречат друг другу.
Разработчики, которые в конечном итоге несут ответственность за исправление проблем в коде, зачастую недостаточно обучены или не имеют доступа к инструментам безопасности с надлежащей интеграцией, чтобы эффективно устранять уязвимости. 29% разработчиков не обладают необходимыми знаниями для устранения проблем, 26% — столкнулись с трудностями или отсутствием интеграции между различными инструментами поставщиков AppSec, 26% разработчиков заявили, что инструменты тестирования замедлили циклы разработки, а 35% организаций утверждают, что менее половины их команд разработчиков проходят формальное обучение AppSec.
DevSecOps – важное направление в DevOps (наборе практик, нацеленных на взаимодействие разработчиков ПО с экспертами по безопасности), подразумевающее обеспечение безопасности на всех этапах разработки приложений. Как показывает практика, организации, внедряющие безопасность в жизненный цикл ПО, демонстрируют лучшие результаты в обеспечении ИБ.