调查：仅33%的受访者在持续集成中使用安全检测工具

近日，Linux基金会和Snyk发布的一项调查发现，不到一半的受访者 (49%) 为那些为使用或开发开源软件制定了安全策略的组织工作。

Linux基金会和Snyk调查了550名软件开发专业人员，将近三分之一(30%)没有任何安全策略的受访者承认，他们的团队中目前没有人直接解决开源安全问题。41%的人表示她们对自己的开源软件安全性没有很高的信心。59%的受访者表示他们部署的开源软件在一定程度上或高度安全。

Snyk 开发者关系主管 Matt Jarvis 表示，许多组织并不了解开源软件现在成为网络犯罪分子的目标，网络犯罪分子希望在广泛使用的软件项目中偷偷地插入恶意软件。他补充说，这些组织也对开源软件是如何构建的缺乏清晰的认识。

总的来说，调查发现，平均每个应用程序开发项目有49个漏洞，80个直接依赖于开源软件。只有18%的受访者表示，为传递依赖所采取的控制措施充满信心。发现的所有漏洞中有40%是在传递依赖项中发现的。

调查显示，只有三分之一 (33%) 的受访者在持续集成过程中使用静态应用程序安全测试 (SAST) 工具或软件成分分析 (SCA) 工具来发现这些漏洞。总体而言，44%的人表示他们使用某种类型的工具来分析源代码。

在附加功能方面，59%的人表示他们希望看到更多的智能工具能添加进去，而52%的人表示需要更明确地定义网络安全最佳实践。近一半(49%)的人还希望增加自动化和安全审计工具。

调查还发现，修复开源项目中的漏洞时间要比专有项目多19%的时间。在有安全政策的组织中，80%的责任归属于安全团队。

开源安全基金会(OpenSSF)是Linux基金会的一个分支机构，它专注于10项投资，总共需要超过1.5亿美元的资金，以推动开源软件项目的维护者更多地采用DevSecOps的最佳实践。今天的开发人员经常重复使用开源软件。问题是，其中许多项目是由少数程序员维护的，他们自愿贡献自己的时间和精力来构建其他人可以免费使用的组件。像任何其他开发人员一样，这些个人拥有的安全专业知识是有限的。确保项目和软件安全的责任在决定部署该软件的组织身上。

希望IT供应商和大型企业IT组织在重复使用开源代码的同时，加强开源组件及软件代码的安全建设。

更多相关技术内容咨询欢迎前往并持续关注六星社区了解详情。

想高效系统的学习Python编程语言，推荐大家关注一个微信公众号：Python编程学习圈。每天分享行业资讯、技术干货供大家阅读，关注即可免费领取整套Python入门到进阶的学习资料以及教程，感兴趣的小伙伴赶紧行动起来吧。

发表于 2022-06-28 10:27
阅读 ( 352 )
分类：行业资讯

调查：仅33%的受访者在持续集成中使用安全检测工具

你可能感兴趣的文章

相关问题

0 条评论

作家榜 »