page contents

调查:仅33%的受访者在持续集成中使用安全检测工具

近日,Linux基金会和Snyk发布的一项调查发现,不到一半的受访者 (49%) 为那些为使用或开发开源软件制定了安全策略的组织工作。

attachments-2022-06-rDJBkpOF62ba6727974a0.png

近日,Linux基金会和Snyk发布的一项调查发现,不到一半的受访者 (49%) 为那些为使用或开发开源软件制定了安全策略的组织工作。

Linux基金会和Snyk调查了550名软件开发专业人员,将近三分之一(30%)没有任何安全策略的受访者承认,他们的团队中目前没有人直接解决开源安全问题。41%的人表示她们对自己的开源软件安全性没有很高的信心。59%的受访者表示他们部署的开源软件在一定程度上或高度安全。

Snyk 开发者关系主管 Matt Jarvis 表示,许多组织并不了解开源软件现在成为网络犯罪分子的目标,网络犯罪分子希望在广泛使用的软件项目中偷偷地插入恶意软件。他补充说,这些组织也对开源软件是如何构建的缺乏清晰的认识。

总的来说,调查发现,平均每个应用程序开发项目有49个漏洞,80个直接依赖于开源软件。只有18%的受访者表示,为传递依赖所采取的控制措施充满信心。发现的所有漏洞中有40%是在传递依赖项中发现的。

调查显示,只有三分之一 (33%) 的受访者在持续集成过程中使用静态应用程序安全测试 (SAST) 工具或软件成分分析 (SCA) 工具来发现这些漏洞。总体而言,44%的人表示他们使用某种类型的工具来分析源代码。

在附加功能方面,59%的人表示他们希望看到更多的智能工具能添加进去,而52%的人表示需要更明确地定义网络安全最佳实践。近一半(49%)的人还希望增加自动化和安全审计工具。

调查还发现,修复开源项目中的漏洞时间要比专有项目多19%的时间。在有安全政策的组织中,80%的责任归属于安全团队。

开源安全基金会(OpenSSF)是Linux基金会的一个分支机构,它专注于10项投资,总共需要超过1.5亿美元的资金,以推动开源软件项目的维护者更多地采用DevSecOps的最佳实践。今天的开发人员经常重复使用开源软件。问题是,其中许多项目是由少数程序员维护的,他们自愿贡献自己的时间和精力来构建其他人可以免费使用的组件。像任何其他开发人员一样,这些个人拥有的安全专业知识是有限的。确保项目和软件安全的责任在决定部署该软件的组织身上。

希望IT供应商和大型企业IT组织在重复使用开源代码的同时,加强开源组件及软件代码的安全建设。

更多相关技术内容咨询欢迎前往并持续关注六星社区了解详情。

想高效系统的学习Python编程语言,推荐大家关注一个微信公众号:Python编程学习圈。每天分享行业资讯、技术干货供大家阅读,关注即可免费领取整套Python入门到进阶的学习资料以及教程,感兴趣的小伙伴赶紧行动起来吧。

attachments-2022-05-rLS4AIF8628ee5f3b7e12.jpg

  • 发表于 2022-06-28 10:27
  • 阅读 ( 375 )
  • 分类:行业资讯

你可能感兴趣的文章

相关问题

0 条评论

请先 登录 后评论
轩辕小不懂
轩辕小不懂

2403 篇文章

作家榜 »

  1. 轩辕小不懂 2403 文章
  2. 小柒 1474 文章
  3. Pack 1135 文章
  4. Nen 576 文章
  5. 王昭君 209 文章
  6. 文双 71 文章
  7. 小威 64 文章
  8. Cara 36 文章