Pangembang sing dilatih nyingkirake kerentanan luwih akeh tinimbang alat pindai kode

Survei EMA saka 129 profesional pangembangan piranti lunak nemokake manawa kanggo sing nggunakake alat pindai kode, mung 10% organisasi sing nyegah persentase kerentanan sing luwih dhuwur tinimbang organisasi sing ora nggunakake alat pindai kode, dene latihan terus-terusan ningkatake keamanan kode kanggo luwih saka 60% organisasi sing diadopsi iku.

Peneliti uga nemokake manawa 70% organisasi ora ana langkah keamanan kritis ing siklus urip pangembangan piranti lunak (SDLC), sing nuduhake perjuangan karo pendekatan ‘shift-kiwa’.

Sanajan kasunyatane kerentanan anyar saben taun ing Database Kerentanan Nasional (NVD) wis tuwuh luwih saka 210% (saka 6,487 dadi 20,139) antarane 2015 nganti 2021, pendekatan ‘shift-kiwa’ durung diadopsi kanthi apik.

Mung 25% organisasi sing nggunakake strategi keamanan shift-kiwa, miturut panaliten EMA, sanajan kesadaran industri saya tambah penting.

Panliten kasebut nuduhake manawa keamanan tetep dadi prioritas sing luwih murah kanggo akeh organisasi – meh 50% ora ngaturake langkah kanggo validasi keamanan, 20% ora ngrancang keamanan aplikasi lan 4% ora duwe langkah implementasi keamanan khusus.

Nanging mupangat kanggo nggawe owah-owahan wis kabukten kanthi apik: 9 saka 10 wong sing nggunakake pendekatan shift-kiwa wis nyuda kerentanan.

“Kita wis ndeleng peningkatan kerentanan anyar sajrone sawetara taun kepungkur. Nalika 99% organisasi duwe program pelatihan kesadaran keamanan, pendekatan iki ora cukup adoh kanggo wong sing duwe peran kritis keamanan kaya pangembang, “ujare Amy Baker, Penginjil Pendidikan Keamanan ing Keamanan Journey.

“Kesadaran minangka dhasar kanggo kawruh, nanging kanggo nggeser paradigma lan ngrampungake dilema AppSec, fokus kudu diganti saka ‘kesadaran’ AppSec dadi ‘pengetahuan sing jero’ lan pangembang latihan babagan praktik coding aman minangka langkah keamanan sabanjure. program kesadaran. Kerentanan sing dideteksi sadurunge ing pembangunan luwih gampang dirampungake lan luwih murah. Lan iki mbutuhake pendekatan terprogram lan terus-terusan kanggo pendidikan keamanan aplikasi lan latihan coding khusus kanggo pangembang, “terusake Baker.

Pangembang sing dilatih: Invaluable kanggo nambah keamanan kode

Latihan asring minangka cara sing ora digunakake kanggo ngirim aplikasi sing luwih aman. Panaliten kasebut nemokake manawa latihan coding sing aman duwe pengembalian investasi sing dhuwur, 28.8% responden sing nggunakake latihan terus-terusan nyegah luwih saka 90% kerentanan tekan produksi.

Panaliten kasebut uga nemokake alangan sing paling umum kanggo investasi ing pelatihan yaiku pengaruh sing dirasakake ing produktivitas. Nanging nalika latihan terus-terusan diwenehake dening pihak katelu lan dileksanakake bebarengan karo review kode lan alat pindai kode, 100% organisasi weruh peningkatan keamanan kode.

“Kadhangkala, nalika nerangake cybersecurity, unsur manungsa minangka komponen sing paling diabaikan ing sistem apa wae,” ujare Ken Buckler, Analis Riset ing EMA.

“Kanthi tingkat adopsi sing paling murah (54%) lan tingkat perbaikan kode paling dhuwur (100%), latihan pihak katelu katon minangka komponen kritis sawetara organisasi sing gagal nandur modal. Tinjauan kode tanpa latihan pungkasane bisa dadi upaya sing ora ana gunane, mung mriksa kothak kepatuhan yen kode kasebut dideleng. Sawise kabeh, kepiye wong-wong sing mriksa kode kasebut ngerti yen kode kasebut aman yen para pamawas kasebut durung diwenehi latihan sing cocog?, ”ujare Buckler.

Leave a Comment

Your email address will not be published. Required fields are marked *