2024年全球DevSecOps现状调查 -Black Duck对软件安全测试的洞察与趋势分析

2024年全球BlackDuck对软件安全测试的 1关于BlackDuck 1 2 2保护AI生成的代码和保护开源代码之间的相似之 2 2 3 32024年全球DevSecOps现状调查详解 4 4 4 4 5 5 5哪个团队/部门决定何时运行安全测试 6 7 7 7blackduckblackduck.com 8 8 10 12 12 12 12 14 14 14 15 15 15 16 17 19 blackduck.com《2024年全球DevSecOps现状调查报告》中的调查结果基于BlackDuck®委托国际市场研究咨询公司Censuswide进行的一项全面调查。该调查涵盖了多关于BlackDuckBlackDuck前身为SynopsysSoftwareIntegrityGroupblackduck.com|1进行优先级排序（37%的受访者同时也强调行业最佳实践(36%)和增加对自动安全测试工具的使用(35%)。为自信的受访者不足1/4。软件开发团队对AI辅助编码的快速采用与开源软件使41%24%托管开源代码和AI生成的代码都可能造成IP所有权和许可方面产生歧义，尤其是当AI模型使用的数据集中可能包含开源或没有归属41%24%20%20%6%6%blackduckblackduck.com|2以下几个主要趋势将共同塑造DevSecOps的发展道路：构将有很大的机会来改进其DevSecOps实践。blackduck.com|blackduck.com|3我们对1,000多名安全专业人员开展的调查揭示出一种不断变化的状态：2024年全球在近期对1,300我们对1,000多名安全专业人员开展的调查揭示出一种不断变化的状态：2024年全球应用所访问/传输信息的敏感性37%安全测试的易配置性或自动化程度应用所访问/传输信息的敏感性37%安全测试的易配置性或自动化程度35%blackduckblackduck.com|430%26%29%38%22%6%4%blackduckblackduck.com|535%大约35%35%大约35%的组织在其安全测试队列41%–60%37%61%–80%21%哪个团队/部门决定何时运行安全测试安全安全44%开发/软件工程42%DevOps37%质量保证34%合规28%跨职能小组21%法务19% blackduck.comblackduck.com|682%82%的组织使用了82%82%的组织使用了6到20种安全合规(28%)和法务(19%)团队的参与表明监管和法律要求是许多组织安全34%33%34%33%15%82%6–1011–1516–20Total其他测试/工具冲突。21%–40%41%–60%30%30%60%blackduck.comblackduck.com|743%21%94%30%39%26%4%2%97%26%46%26%2%2%92%26%41%25%6%2%94%20%50%24%6%1%93%27%51%14%5%2%97%35%50%12%3%0%96%37%37%22%2%2%60%26%45%25%3%1%blackduckblackduck.com|891%应用/软件开发银行/金融电信/ISP非营利组织/协会98%85%84%98%41%24%20%85%4%6%5%100%95%90%92%87%97%75%96%90%50%90%90%blackduckblackduck.com|953%50%45%50%45%42%40%38%36%40%38%36%33%30%22%22%22%20%20%20%9%7%7%7%5%4%2%0%4%2%0%27%27%的组织43%的组织<5%的组织21%的组织blackduckblackduck.com|1053%50%45%42%53%50%45%42%38%40%36%33%30%38%40%36%33%30%22%22%20%20%22%22%20%20%9%7%7%7%5%4%2%5%4%2%0%<5%的组织27%的组织43%的组织21%的组织blackduckblackduck.com|1120%37%37%AppSec开发/工程23%21%AppSec开发/工程可能是因为高级人员比普通工作人员拥有更丰ChinaSingaporeChinaSingaporeFinlandGermanyFranceU.S.Japan88%83%82%76%73%71%55%51%blackduckblackduck.com|12手动分析和清理所有工具生成的结果38%自动分析和清理所有工具生成的结果28%手动分析和清理所有工具生成的结果38%自动分析和清理所有工具生成的结果28%图3.审查方法对理解测试结果和据此采取行动图3.审查方法对理解测试结果和据此采取行动自动审查所有结果手动审查所有结果混合审查方法blackduckblackduck.com|13Q13.Q13.下面哪句话最恰当地描述了应用安全测试与软件开发/交付之应用安全测试严重减缓了软件开发/交付速度18%应用安全测试轻微减缓了软件开发/交付速度25%应用安全测试中度减缓了软件开发/交付速度43%总计86%这些统计数据强调了将安全性无缝集成到快AppSec团队情绪最大，认为测试中度或严重阻碍了开发/交付管道(图4.AppSec和开发/工程人员对于安全测试对软件开发/交付的影响有着不同的认知0AppSec开发/工程不会减缓软件开发/交付速度轻微减缓软件开发/交付速度中度减缓软件开发/交付速度严重减缓软件开发/交付速度缺乏足够的了解blackduck.comblackduck.com|1416%的开发/工程人员和19%的安全人员认为开发速度受到了严重影响。Q10.下面哪句话最恰当地描述了贵手动对问题修复分配优先级43%发现安全问题后会发生什么?防止代码签入SCM/存储库32%对分类和修复工作分配优先级32%防止已编译的资产添加到二进制存储库中30%阻止软件开发进入预生产和生产阶段28%宣告构建失败24%blackduck.comblackduck.com|15泛的DevSecOps原则相一致。(32%)使用手动方法分配问题。DevSecOps泛的DevSecOps原则相一致。(32%)使用手动方法分配问题。DevSecOps原则相一致。Q12.贵组织采用以下哪种方法将应用安全问题告知开发人员/软件工程使用问题管理工具内置的自动告警/任务分配系统42%40%39%35%32%36%blackduckblackduck.com|1649%b超过60%超过49%b超过60%blackduckblackduck.com|17•考虑实施具有内置安全策略的基础架构即代码(•静态应用安全测试(SAST)对于在开发过程早期阶段识别编码缺陷非常您将在塑造DevSecOps的未来中扮blackduckblackduck.com|18应用/软件开发银行/金融电信/ISP非盈利机构/协会18%11%20%10%6%3%6%7%4%4%2%2%3%2%0.5%1%0.5%InfoSecAppSec开发/工程16%17%14%11%22%13%4%2%1%12%13%13%13%12%12%12%13%不到不到1004%100–50011%501–1,00013%1,001–2,00016%2,001–5,00017%5,001–10,00018%10,001–15,00010%15,001–50,0007%50,001–100,00014%blackduckblackduck.com|19最多20%21%–40%41%–60%61%–80%81%–100%4.86%23.39%36.77%20.52%8.72%5.75%15.46%4.16%2.87%29.53%25.77%22.20%开发/软件工程44.00%42.22%36.57%33.99%28.15%21.01%19.43%1.39%28.74%22.40%38.35%4.36%6.14%应用所访问/传输信息的敏感性29.34%30.82%35.88%35.38%34.99%33.99%33.70%32.80%36.77%2.78%blackduckblackduck.com|20Q10.下面哪句话最恰当地描述了贵1–56–1011–1516–2021+9.32%33.50%33.30%14.57%3.87%5.45%安全测试结果非常容易理解和据此采取行动20.22%安全测试结果比较容易理解和据此采取行动52.03%安全测试结果比较难以理解和据此采取行动17.54%安全测试结果非常难以理解和据此采取行动4.26%我不参与应用安全测试结果的分析或行动5.95%38.06%28.05%25.27%5.35%3.27%其他测试/工具冲突。0%–20%21%–40%41%–60%61%–80%81%–100%15.06%30.23%30.23%14.87%2.78%6.84%42.