Man معتقد است که مدیریت وضعیت امنیتی برنامه (ASPM) – یک رویکرد امنیتی جدید – به تیم های AppSec کنترل بیشتری می دهد و وضعیت امنیتی برنامه های آنها را بهبود می بخشد.
Man اضافه کرد که یکی از چیزهایی که تیمهای AppSec بیش از همه میخواهند این است که با همتایان توسعهدهنده خود به خوبی کار کنند – نگرانی اصلی که در طول نظرسنجی مطرح شد. هر نقش AppSec دیدگاه خاص خود را در مورد چگونگی تأثیر فقدان ابزارهای بومی ابری بر اصطکاک فزاینده بین روابط AppSec/devs دارد.
به اصطلاح مالیات، که تخمین زده می شود سالانه بیش از 1.2 میلیون دلار باشد، هزینه به کارگیری مهندسان AppSec است که به جای اجرای برنامه جامع AppSec بومی ابری، آسیب پذیری ها را تعقیب می کنند. Man شکایت کرد که تیمهای امنیتی برنامه در تلاش هستند تا با تیمهای توسعه سریعتر که به سرعت در حال استقرار کد در فضای ابری هستند، عقب نمانند.
او خاطرنشان کرد: «این شکافهای فعالسازی عظیم در سراسر قابلیتهای اصلی ابری گسترش مییابد.
سنجاق برای کاهش تنش
این تخمین بر اساس میانگین حقوق کارکنان AppSec و اندازه تیم AppSec است. Man اضافه کرد که این محاسبه هزینه ایمن سازی ناکافی برنامه های کاربردی شرکت داده شده را در نظر نمی گیرد.
نکات کلیدی جهت بازار جدید را نشان می دهد
ابزار ناکافی بومی ابری دلیل اصلی اصطکاک بین تیم های AppSec و توسعه دهندگان است. ابزارهای نسل کنونی AppSec فاقد توانایی گزارش سطح شواهد مورد نیاز برای عملکرد تیم های توسعه دهنده بر روی هشدارها هستند.
AppSec Playing Defense
این مطالعه نشان داد که تریاژ کارآمد بین Dev و AppSec در 73% در مقابل 42% مشابه است.
عواقب پرهزینه
به عنوان مثال، اکثریت قریب به اتفاق (85٪) از متخصصان AppSec میخواهند خطرات کد واقعی را از مسائل کم خطر متمایز کنند و آن را به مهمترین قابلیت بومی ابری تبدیل کنند. اما تنها 38٪ به طور کامل قادر به انجام این کار با استفاده از مجموعه ابزار فعلی خود هستند.
او پیشنهاد کرد که یک مشکل مهم این است که ابزار آنها قدیمی است. آنها فاقد زمینه ابری حیاتی برای قادر ساختن تیم های AppSec برای انجام موفقیت آمیز وظایف خود هستند. علاوه بر این، ابزارهای امنیتی برنامه فعلی با ایجاد تعداد بیش از حد هشدارهای کم ارزش، مشکل را تشدید می کنند.
“هزینه بازی دفاعی، با نام مستعار مالیات دفاعی، بسیار زیاد است. تخمینهای محافظهکارانه نشان میدهد که میانگین هزینه شرکت برای زمان تلف شده AppSec بیش از 1 میلیون دلار در سال است.
به عنوان مثال، 78٪ از پاسخ دهندگان گفتند که ارتباط یافته های امنیتی با تیم توسعه دهنده مسئول تعمیر ضروری است. اما اکنون فقط 43 درصد به طور کامل قادر به انجام این کار هستند.
تبلیغات
شایان ذکر است، در حالی که 58 درصد از پاسخ دهندگان گزارش می دهند که بیش از 50 درصد از زمان خود را صرف تعقیب آسیب پذیری می کنند، 89 درصد تکان دهنده حداقل 25 درصد از زمان خود را در این حالت تدافعی سپری می کنند. همه و همه، شرکت ها قربانی این مالیات دفاعی پرهزینه هستند.
به گفته محققان، سازمانهای DevOps بالغ به دلیل فقدان ابزارهای بومی ابری، تأثیر گستردهای را ذکر میکنند. تیمهای AppSec در چرخهای گیر افتادهاند و نمیتوانند با سرعت روزافزون سریع و چابک توسعهدهنده و دفاع امنیتی از طریق یک تعقیب آسیبپذیری بیپایان و غیرمولد همگام شوند.
همچنین، به گفته Man، نکته قابل توجه، وجود قابلیتهای بومی ابری از دست رفته است که AppSec و dev را قادر میسازد تا به خوبی با هم کار کنند. نظرسنجی فاش کرد که آنها به طور مشخص کمبود دارند.
تیمها در حال از دست دادن ایمان خود به ابزارهای سنتی AppSec هستند، زیرا آنها نمیتوانند ادامه دهند و در یک بازی همیشگی گیر افتادهاند. این تاثیر گسترده است و اکثریت قریب به اتفاق سازمان ها تاثیر گسترده ابزارهای AppSec ناکافی بومی ابری را می بینند.
بر اساس گزارش اخیر امنیت صنعت نرم افزار، افزایش قابل توجهی در تنش بین کارگران امنیت برنامه (AppSec) و توسعه دهندگان برنامه بر سر اجماع در مورد نیازهای بومی ابری وجود دارد. علاوه بر این، نگرانی فزاینده ای در مورد حفظ استعداد توسعه دهندگان در این زمینه وجود دارد.
همراه با حجم عظیمی از موارد مثبت کاذب گزارش شده، تیم های AppSec در نهایت اعتبار خود را در چشم توسعه دهندگان از دست می دهند. هنگامی که در مورد تأثیر کمبود ابزارهای ابری برای این گزارش مورد بررسی قرار گرفت، پاسخ دهندگان اصطکاک رو به رشد AppSec/dev را به عنوان موضوع شماره یک و به دنبال آن حفظ استعدادهای توسعه دهنده و AppSec را ذکر کردند.
در نهایت، یک طرز فکر جدید وجود دارد که دیدگاهی جامع از وضعیت امنیتی برنامه ارائه میکند و به AppSec اجازه میدهد تا تعادلی بین ذهنیت «تغییر به چپ» و داشتن قدرت شناسایی و کاهش آسیبپذیریها قبل از سوءاستفاده ایجاد کند. مرد.