KazDevOps

12 страниц отчета от SNYK по вопросам безопасности Open Source. Рассказываем ключевые моменты.

1️⃣ Усталость в сфере безопасности приложений и замедление прогресса:

— Организациям сложно внедрять комплексные практики безопасности. Ключевые инструменты, такие как SCA и SAST внедряют менее чем в 70% случаев.
— Проактивные меры безопасности для цепочек поставок снизились на 11% за год, что указывает на нехватку ресурсов и усталость команд.

2️⃣ Проблемы с безопасностью цепочек поставок:

— Несмотря на то что 62% организаций начали использовать мониторинг SBOM, только небольшая часть применяет передовые меры. Результаты показывают низкое использование воспроизводимых сборок (21%) и подписи артефактов (36%).
— Ограничения бюджета и ресурсов сказывается на вкладе в безопасность цепочки поставок.

3️⃣ Ускорение исправлений уязвимостей:

— Проекты с открытым исходным кодом быстрее исправляют критические уязвимости, чем проприетарные решения.
— Среднее время устранения критических уязвимостей продолжает сокращаться.

4️⃣ Интеграция инструментов безопасности:

— Инструменты безопасности все чаще интегрируются на ранних этапах разработки (в CI/CD пайплайнах и проверках до фиксации кода).
— Использование интеграции безопасности в IDE снижается в пользу автоматизированных решений, минимизирующих нагрузку на разработчиков.

5️⃣ Роль ИИ в безопасности:

— 79% респондентов уверены, что ИИ улучшает безопасность кода. Однако код, сгенерированный ИИ, все еще содержит уязвимости.
— Команды безопасности применяют строгие проверки кода, независимо от того, был ли он написан человеком или ИИ.

6️⃣ Недостатки управления уязвимостями:

— 52% организаций не успевают исправлять критические уязвимости в рамках SLA.
— Сложности приоритизации уязвимостей на основе бизнес-рисков затрудняют эффективное устранение угроз.

@DevOpsKaz 😛

Please open Telegram to view this post

VIEW IN TELEGRAM

www.tgoop.com/DevOpsKaz/1264

1.7K viewsDec 10 at 07:02

12 страниц отчета от SNYK по вопросам безопасности Open Source. Рассказываем ключевые моменты.

1️⃣ Усталость в сфере безопасности приложений и замедление прогресса:

— Организациям сложно внедрять комплексные практики безопасности. Ключевые инструменты, такие как SCA и SAST внедряют менее чем в 70% случаев.
— Проактивные меры безопасности для цепочек поставок снизились на 11% за год, что указывает на нехватку ресурсов и усталость команд.

2️⃣ Проблемы с безопасностью цепочек поставок:

— Несмотря на то что 62% организаций начали использовать мониторинг SBOM, только небольшая часть применяет передовые меры. Результаты показывают низкое использование воспроизводимых сборок (21%) и подписи артефактов (36%).
— Ограничения бюджета и ресурсов сказывается на вкладе в безопасность цепочки поставок.

3️⃣ Ускорение исправлений уязвимостей:

— Проекты с открытым исходным кодом быстрее исправляют критические уязвимости, чем проприетарные решения.
— Среднее время устранения критических уязвимостей продолжает сокращаться.

4️⃣ Интеграция инструментов безопасности:

— Инструменты безопасности все чаще интегрируются на ранних этапах разработки (в CI/CD пайплайнах и проверках до фиксации кода).
— Использование интеграции безопасности в IDE снижается в пользу автоматизированных решений, минимизирующих нагрузку на разработчиков.

5️⃣ Роль ИИ в безопасности:

— 79% респондентов уверены, что ИИ улучшает безопасность кода. Однако код, сгенерированный ИИ, все еще содержит уязвимости.
— Команды безопасности применяют строгие проверки кода, независимо от того, был ли он написан человеком или ИИ.

6️⃣ Недостатки управления уязвимостями:

— 52% организаций не успевают исправлять критические уязвимости в рамках SLA.
— Сложности приоритизации уязвимостей на основе бизнес-рисков затрудняют эффективное устранение угроз.

@DevOpsKaz 😛