2020年09月22日 | 新思科技：许多组织仍会提交易受攻击的代码

2020-09-22 来源：EEWORLD

美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布的《现代应用程序开发安全》报告发现尽管许多组织仍会提交易受攻击的代码，但大多数组织认为他们的应用安全计划都是可靠的。拥有良好的应用安全计划并不意味着组织将不再提交易受攻击的代码。区别在于提交此类代码的人完全知情并清楚地了解他们所承担的风险。

要想实现应用程序安全就需要持续对潜在风险进行分类处理，这其中就涉及到如何制定优先级决策，使得开发团队既能在规定日期前交付应用程序，同时还能降低风险。如果在开发周期中过晚发现漏洞，那么这些漏洞通常将无法得到解决。这也进一步强调了尽早注重应用程序安全的重要性。因为只有尽早发现漏洞才能留出足够的时间及时解决关键问题，不影响按时交付。

image.png?imageView2/2/w/550

根据行业分析公司Enterprise Strategy Group (ESG)对网络安全和应用程序开发专业人员进行的一项调查，《现代应用程序开发安全》报告着重说明了安全团队对现代开发和部署实践的了解程度以及需要采取哪些安全控制措施以降低风险。该研究发现，将近一半（48%）的调查受访者因时间压力，仍会提交易受攻击的代码。研究还表明，43%的受访者表示DevOps集成对于改善应用安全计划至关重要。

ESG资深分析师Dave Gruber表示：“DevSecOps已在现代开发领域中将安全放在了前端和核心的位置；然而，安全和开发团队业务指标不同，很难达成统一的目标。大多数安全团队缺乏对现代应用程序开发实践的了解，也进一步加剧了这一挑战。向微服务架构的转型，以及对容器和无服务器模式的使用已经改变了开发人员构建、测试和部署代码的方式。”

新思科技委托权威IT分析和研究机构ESG，记录有关开发团队和网络安全团队之间有关应用程序安全解决方案部署和管理的现状和见解。ESG对378名负责IT、网络安全和应用程序开发的专业人员进行了采访和调研。受访者对安全的应用程序开发技术有深入了解并负责这方面的工作，或者采用安全开发工具和流程进行应用程序开发。受访者在美国和加拿大的多个行业工作，包括制造业、金融业、建筑与工程行业和商业服务业等。

新思科技软件质量与安全部门产品市场总监Patrick Carey表示：“这项研究的关键见解凸显了企业需要在整个开发生命周期中全面处理应用程序安全。在仍提交易受攻击的代码的企业中，45%是因为在开发周期中过晚发现漏洞，以至于这些漏洞无法及时解决。这再次说明在开发流程中将安全左移的重要性，开发团队需要能够持续接受培训，并在当前的流程提供补充的工具解决方案，以便他们能够在不影响速度的前提下安全地进行编码。”

研究的主要发现包括：

大多数组织认为他们的应用程序安全计划都是可靠的，尽管许多组织仍然会提交易受攻击的代码。69%的受访者将他们现有计划的有效性评为8分或更高分，评级从0分到10分（其中10分表示最有效）。但是，由于近一半的企业仍然定期提交易受攻击的代码，因此大多数组织在过去12个月遭受到OWASP Top 10漏洞入侵其生产应用程序。
DevOps集成是改进的关键要素。超过四分之一的受访者表示他们现在的应用程序安全工具增加了摩擦并减缓了开发周期，而23%的受访者则认为与开发/ DevOps工具的不良集成成为最常见的挑战。此外，26%的受访者指出，不同的应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是常见的应用程序安全挑战。
开发人员在应用程序安全中扮演重要角色，但是他们缺乏技巧和培训。近三分之一（29%）的受访者表示，企业内的开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且仅仅17%的受访者表示他们的开发人员利用其安全工具中提供的即时培训，只有29%的受访者被要求每季度至少参加一次培训。
企业计划增加应用程序安全支出。超过一半（51%）的受访者表示计划在未来12个月内大幅增加应用程序安全的支出。44%的受访者计划将应用程序安全投资瞄准云端。
AppSec工具的激增正在推动许多组织投资于工具整合。许多组织在努力整合和管理现有的工具，这往往会降低安全计划的有效程度，并需要安排过多资源来管理工具。72%的受访者使用的工具超过10种，复杂性成为了一个关键问题，因此超过三分之一的受访者将投资重点放在了整合上面。

新思科技

上一篇:万物互联的时代，物联网安全如何保障？

下一篇:Akamai：视频游戏公司和玩家是网络攻击者的首选对象

推荐阅读

2018年09月22日 | stm32systick知识

systick又叫滴答定时器，是STM32内核的一个24位简单定时器，常用作延时以及系统心跳等功能。systick总共有4个寄存器CTRL、 LOAD、 VAL、CALIB SysTick->CTRL 的各位定义如图 5.1.2.1 所示： SysTick-> LOAD 的定义如图 5.1.2.2 所示： SysTick-> VAL 的定义如图 5.1.2.3 所示： SysTick-> CALIB 不常用，在这里我们也用不到，故不介绍了。从上面...

2019年09月22日 | 上海电力与浙江江苏电力实现配电网跨省贯通

中国储能网讯：9月17日，在上海青浦与江苏吴江交界，随着国网上海市电力公司、国网江苏省电力有限公司施工人员在最后一段线路上的接头搭通完工，上海联系江苏的青浦-吴江10千伏互联工程正式建成贯通。这是继青浦联系嘉善之后的第二条配电网跨省联络线路，也标志着上海已与浙江、江苏实现了配电网跨省互联互通，长三角地区跨区域电力融合进入了崭新的阶段...

2020年09月22日 | 霍尼韦尔在华新建生产线加速投资智能仓储业务

霍尼韦尔（纽交所代码: HON）今日宣布其位于苏州工厂的新建霍尼韦尔智能仓储设备生产线已正式下线投产。其生产的托盘堆垛机产品结合了霍尼韦尔在全球自动化仓储项目中积累的技术和经验，将能更好满足中国客户多样化的仓储需求并进一步加快服务响应速度。作为行业领先的智能仓储解决方案一站式供应商，霍尼韦尔拥有全球范围内久经验证的产品技术和项目经...

2021年09月22日 | 磁翻板液位计显示面板结构改进设计及其必要性

　　磁翻板液位计在各种槽、罐、塔等设备的介质液位检测方面有着广泛地应用。磁翻板液位计一般由显示面板、浮筒以及磁浮子等构成，浮筒内设有磁浮子，且该磁浮子本身直接浮于液面上，该浮筒外设有翻片显示面板，显示面板内设有磁性翻片，该翻片显示面板的磁性翻片和该磁浮子磁性耦合，进而指示液位的实际高度。传统磁翻板液位计的缺陷及结构改进的必要性　...

史海拾趣

AAT [Advanced Analog Technology, Inc.]公司的发展小趣事

由于版权和实时数据的限制，我无法直接为您提供关于AAT（Advanced Analog Technology, Inc.）公司的5个具体的发展故事。但是，我可以提供一个通用的框架，您可以根据这个框架来查找或编写相关故事。

AAT公司发展故事框架

创业初期与技术创新

在电子行业的初期，AAT公司由一群富有远见和技术的工程师创立。他们瞄准了模拟技术领域的巨大潜力，决心开发出一系列高性能的模拟芯片。初期，公司面临资金短缺和技术挑战，但通过不断的技术创新和市场调研，AAT成功研发出了一款具有竞争力的模拟芯片，并获得了市场的认可。

市场拓展与国际合作

随着技术的成熟和产品的完善，AAT开始积极拓展市场。他们与全球多家知名电子企业建立了合作关系，共同推动模拟芯片在各个领域的应用。同时，AAT也积极参与国际技术交流活动，与全球同行分享经验和技术成果，进一步提升了公司的国际影响力。

应对行业变革与战略调整

随着电子行业的快速发展和变革，AAT也面临着新的挑战和机遇。为了应对这些变化，公司进行了战略调整，加大了对新兴技术的研发投入，并优化了产品结构和市场布局。这些举措使得AAT在激烈的市场竞争中保持了领先地位。

人才培养与团队建设

AAT深知人才是企业发展的核心。因此，公司一直注重人才培养和团队建设。他们通过提供丰富的培训和发展机会，吸引和留住了一批优秀的工程师和管理人才。这些人才为公司的技术创新和市场拓展提供了有力支持。

社会责任与可持续发展

在追求经济效益的同时，AAT也积极履行社会责任。他们关注环境保护和可持续发展，通过采用环保材料和节能技术，降低产品对环境的影响。此外，AAT还积极参与公益事业，为社会做出积极贡献。

以上只是一个通用的框架，您可以根据这个框架来查找或编写关于AAT公司的具体发展故事。在编写时，请确保只描述事实，避免加入个人主观评价或褒贬色彩。同时，由于电子行业和AAT公司的发展是一个持续的过程，建议您查阅最新的行业资讯和公司报告，以确保故事的时效性和准确性。

E. Dold & Söhne KG公司的发展小趣事

在追求经济效益的同时，E. Dold & Söhne KG公司也高度重视环保和可持续发展。公司积极引进环保技术和设备，降低生产过程中的能耗和废弃物排放。此外，公司还倡导绿色采购和绿色供应链管理，推动整个产业链向环保和可持续方向发展。这种对环保和可持续发展的关注使得E. Dold & Söhne KG公司在行业内树立了良好的社会形象。

Esico-Triton公司的发展小趣事

Esico-Triton公司成立于XXXX年，起初是一个小型的电子设备研发团队。当时，创始人[XXXXX]和[XXXXX]看到了电子设备市场的巨大潜力，于是决定合作创办一家公司。他们的初衷是开发一款能够简化工作流程的电子设备。在公司创立初期，资金紧张，研发条件有限，但团队成员凭借着对技术的热情和专业知识，成功研发出了第一款产品——一款便携式数据处理器。这款产品因其便携性和高效性受到了市场的欢迎，为Esico-Triton的后续发展奠定了坚实的基础。

Diplohmatic A/S公司的发展小趣事

在追求经济效益的同时，Diplohmatic A/S公司也积极践行环保理念。公司投入资金研发环保型电子产品，采用可再生材料和节能技术，减少生产过程中的废弃物排放。此外，公司还积极参与环保公益活动，倡导绿色消费和低碳生活。这些举措不仅提升了公司的社会形象，也为推动电子行业的可持续发展做出了贡献。

Cavium Networks公司的发展小趣事

随着消费者对家庭娱乐和智能生活的需求不断增长，Cavium Networks 敏锐地捕捉到了这一市场趋势。公司推出了面向消费者市场的无线显示解决方案 WiVu，利用最新的笔记本电脑技术如嵌入式 DisplayPort 和显示迷你卡（DMC），为多房间和交互式应用提供了高性能的 Wi-Fi 无线显示解决方案。WiVu 的推出不仅满足了消费者对便捷、高效、高质量的娱乐体验的需求，也引领了市场的新潮流，进一步巩固了 Cavium Networks 在电子行业中的地位。

Accetek公司的发展小趣事

随着产品质量的不断提升和市场口碑的积累，Accetek公司开始积极拓展国内外市场。公司参加了多个国际电子展览和交流活动，与全球多家知名企业建立了合作关系。同时，公司还加强了品牌建设和市场推广工作，通过广告宣传、媒体合作等方式提高品牌知名度和美誉度。这些举措有效地提升了公司的市场竞争力，为公司的快速发展提供了有力支持。