新思科技：许多组织仍会提交易受攻击的代码

分享到: 微博; QQ; 微信; LinkedIn

美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布的《现代应用程序开发安全》报告发现尽管许多组织仍会提交易受攻击的代码，但大多数组织认为他们的应用安全计划都是可靠的。拥有良好的应用安全计划并不意味着组织将不再提交易受攻击的代码。区别在于提交此类代码的人完全知情并清楚地了解他们所承担的风险。

要想实现应用程序安全就需要持续对潜在风险进行分类处理，这其中就涉及到如何制定优先级决策，使得开发团队既能在规定日期前交付应用程序，同时还能降低风险。如果在开发周期中过晚发现漏洞，那么这些漏洞通常将无法得到解决。这也进一步强调了尽早注重应用程序安全的重要性。因为只有尽早发现漏洞才能留出足够的时间及时解决关键问题，不影响按时交付。

根据行业分析公司Enterprise Strategy Group (ESG)对网络安全和应用程序开发专业人员进行的一项调查，《现代应用程序开发安全》报告着重说明了安全团队对现代开发和部署实践的了解程度以及需要采取哪些安全控制措施以降低风险。该研究发现，将近一半（48%）的调查受访者因时间压力，仍会提交易受攻击的代码。研究还表明，43%的受访者表示DevOps集成对于改善应用安全计划至关重要。

ESG资深分析师Dave Gruber表示：“DevSecOps已在现代开发领域中将安全放在了前端和核心的位置；然而，安全和开发团队业务指标不同，很难达成统一的目标。大多数安全团队缺乏对现代应用程序开发实践的了解，也进一步加剧了这一挑战。向微服务架构的转型，以及对容器和无服务器模式的使用已经改变了开发人员构建、测试和部署代码的方式。”

新思科技委托权威IT分析和研究机构ESG，记录有关开发团队和网络安全团队之间有关应用程序安全解决方案部署和管理的现状和见解。ESG对378名负责IT、网络安全和应用程序开发的专业人员进行了采访和调研。受访者对安全的应用程序开发技术有深入了解并负责这方面的工作，或者采用安全开发工具和流程进行应用程序开发。受访者在美国和加拿大的多个行业工作，包括制造业、金融业、建筑与工程行业和商业服务业等。

新思科技软件质量与安全部门产品市场总监Patrick Carey表示：“这项研究的关键见解凸显了企业需要在整个开发生命周期中全面处理应用程序安全。在仍提交易受攻击的代码的企业中，45%是因为在开发周期中过晚发现漏洞，以至于这些漏洞无法及时解决。这再次说明在开发流程中将安全左移的重要性，开发团队需要能够持续接受培训，并在当前的流程提供补充的工具解决方案，以便他们能够在不影响速度的前提下安全地进行编码。”

研究的主要发现包括：

大多数组织认为他们的应用程序安全计划都是可靠的，尽管许多组织仍然会提交易受攻击的代码。69%的受访者将他们现有计划的有效性评为8分或更高分，评级从0分到10分（其中10分表示最有效）。但是，由于近一半的企业仍然定期提交易受攻击的代码，因此大多数组织在过去12个月遭受到OWASP Top 10漏洞入侵其生产应用程序。
DevOps集成是改进的关键要素。超过四分之一的受访者表示他们现在的应用程序安全工具增加了摩擦并减缓了开发周期，而23%的受访者则认为与开发/ DevOps工具的不良集成成为最常见的挑战。此外，26%的受访者指出，不同的应用程序安全供应商的工具之间是否存在集成困难或缺乏集成是常见的应用程序安全挑战。
开发人员在应用程序安全中扮演重要角色，但是他们缺乏技巧和培训。近三分之一（29%）的受访者表示，企业内的开发人员缺乏用现有的应用程序安全工具解决问题的知识。而且仅仅17%的受访者表示他们的开发人员利用其安全工具中提供的即时培训，只有29%的受访者被要求每季度至少参加一次培训。
企业计划增加应用程序安全支出。超过一半（51%）的受访者表示计划在未来12个月内大幅增加应用程序安全的支出。44%的受访者计划将应用程序安全投资瞄准云端。
AppSec工具的激增正在推动许多组织投资于工具整合。许多组织在努力整合和管理现有的工具，这往往会降低安全计划的有效程度，并需要安排过多资源来管理工具。72%的受访者使用的工具超过10种，复杂性成为了一个关键问题，因此超过三分之一的受访者将投资重点放在了整合上面。

关键字：新思科技引用地址：新思科技：许多组织仍会提交易受攻击的代码

上一篇：万物互联的时代，物联网安全如何保障？
下一篇：Akamai：视频游戏公司和玩家是网络攻击者的首选对象

推荐阅读

2018年09月22日 | STM32使用FATFSW读写SD出现错误2的原因

最近在最项目时遇到使用STM32写入SD卡数据时，刚开始数据写入正常，过一会就回出现错误，错误代码2，查阅FATFS的官方文档，给出如下：总共4种可能的情况，依次实验了上述问题的各种解决方法，都补管用，最后在写入数据前加入设备正常运行，替换成延时函数也正常运行由此推断可能是由于写入的速度过快造成。

2019年09月22日 | 郭明錤:iPhone 11 Pro和Max销量超过预期

9月18日早间消息，天风国际分析师郭明錤表示，iPhone 11、iPhone 11 Pro和iPhone 11 Pro Max的预订量迄今为止都好于预期。其中iPhone 11 Pro和iPhone 11 Pro Max预订量占到了55%，这主要是得益于苹果的以旧换新和分期免息的政策。　　郭明錤在研究报告中指出，iPhone 11 Pro和iPhone 11 Pro Max占到了总预订量的55%，这意味着价...

2020年09月22日 | 开发工具之IAR下载、安装与激活

说在前面：　　本教程适用于IAR for ARM、IAR for STM8、IAR for MSP430　　本教程所使用的激活工具只能激活IAR for ARM 8.40.1、IAR for MSP430 7.10.1及以下版本　　注意：激活时请选择正确的软件版本，STM8和ARM不是相同版本！ IAR for ARM各版本下载激活工具下载目录：访客专属-激活破解-IAR注册机.7z一、下载1....

2021年09月22日 | STM8单片机串口发送引脚和接收引脚分开使用

在使用STM8S003单片机时，需要用到ADC采样功能，STM8S003总共有5个ADC采样口，但是其中两个采样口是和串口复用的，如果当ADC口用，就不能用串口，如果当串口用，就不能用ADC口。通过芯片管脚的原理图可以看到PD5口可以当作模拟采样第5通道使用，也可以用当做串口发送口使用。PD6口可以当做模拟采样第6通道使用，也可以当做串口接收口使用。在项目中需要将...

史海拾趣

Dymec公司的发展小趣事

在国内市场取得一定成绩后，Dymec公司开始寻求更广阔的发展空间。公司决定进军国际市场，通过参加国际展会、建立海外销售渠道等方式，逐步打开了国际市场的大门。在拓展国际市场的过程中，Dymec公司不仅提升了品牌影响力，还积累了丰富的国际业务经验。

FREESCALE (NXP)公司的发展小趣事

Dymec公司成立的初期，正面临着电子市场快速变革的挑战。为了在市场上立足，公司创始人决定专注于研发高精度电子连接器。经过数月的努力，团队成功开发出了一款具有创新性的连接器产品，这款产品不仅提高了数据传输的效率，还大大增强了设备的稳定性。这一创新为Dymec公司赢得了第一批客户的认可，也为公司后续的发展奠定了坚实的基础。

Daewoo公司的发展小趣事

在汽车产业领域，Daewoo公司同样取得了令人瞩目的成就。大宇汽车公司作为Daewoo集团的骨干企业，自1983年独立以来，凭借其先进的技术和出色的品质，迅速在韩国汽车市场崭露头角。公司不仅在国内市场表现优异，还积极开拓国际市场，成功将产品出口到世界各地。

Cincon公司的发展小趣事

随着业务的快速发展，Cincon开始将目光投向国际市场。1999年，公司在美国加州设立了办事处，以便更好地服务北美市场。同一年，为了应对日益增长的生产需求，Cincon在中国东莞设立了新工厂。这些举措极大地提升了公司的生产能力和国际市场竞争力，为Cincon的全球化发展打下了坚实的基础。

ACT [Advanced Crystal Technology]公司的发展小趣事

经过多年的努力和发展，Cincon在电源行业取得了显著的成就。其产品包括多种类型的电源转换器、适配器和LED电源等，广泛应用于各种电子设备中。凭借卓越的产品质量和创新能力，Cincon赢得了全球客户的信赖和认可。

芯海科技(CHIPSEA)公司的发展小趣事

近年来，随着新能源汽车市场的快速崛起，BMS（电池管理系统）技术成为关键。芯海科技凭借在“模拟信号链+MCU”领域的技术积累，成功开发出应用于BMS锂电管理的高精度模拟信号链芯片。这一技术的突破使得芯海科技能够切入新能源汽车市场，为行业的发展提供了有力支持。

问答坊 | AI 解惑

ZT:值得你跟随的十种老板一、能够在员工需要的时候给员工提供指导，帮助员工发展的老板　　老板虽然与下属是上下级关系，但是没有下属的支持和协作，再出色的老板都无法独自让公司正常运作。对企业来说，员工是重要的组成部分，但员工不能完全等同于“零件”，过于关心 ...… 查看全部问答∨	初学者问LPC2478的问题我设计一LPC2478的电路板，然后在PC机上利用ADS1.2和HJTAG建立开发环境，发现一个非常奇怪的问题：当插上EasyJTAG，利用DebugInFlash或ReleaseInFlash选项将程序下载到LPC2478中的时候，程序能运行起来；而当拔下EasyJTAG，程序怎么也不能跑起 ...… 查看全部问答∨
【外包】升级上网卡miniport驱动NDIS5.1至6.2。已有源码及文档现有一个NDIS5.1的无线上网卡miniport驱动程序，根据微软的要求需要升级到NDIS6.2版本。我们现在手头有的材料包括NDIS5.1源程序，相关文档资料。还需要做的就是根据NDIS6.2的文档进行升级，要求升级后的驱动能够实现相应的功能，并且能够通过微软 ...… 查看全部问答∨	百利通-CDMA短信猫,深圳短信猫,八口短信猫池(400-657-8590) 百利通(400-657-8590)CDMA短信猫,深圳短信猫,八口短信猫池随着手机及短信的普及，越来越多的行业开始发展企业短信应用，短信猫设备凭借其低成本、稳定可靠的点对点通信、方便快捷接入的优势已经成为企业短信领域重要的 ...… 查看全部问答∨
求救，触摸屏下的中文输入开发需要注意什么，我的面试题面试官给我一个星期的时间做一个报告。关于技术，成本，开发周期的。别的不管，就说技术方面。大家帮我提一些技术上需要考虑的问题，开发的困难之处，谢谢。所有的分相送… 查看全部问答∨	【有图】STM32F103Datasheet有关的问题看看D、D1、E、E1四个参数的公制和英制的对应。看出门道的请跟帖… 查看全部问答∨
proteus与multisim仿真结果不同？以上两个图是对同一信号发生电路的仿真，前者是proteus的，后者是multisim的，proteus完全没有产生正弦波形，其输出基本不变，是不是我选的proteus的器件模型有问题啊，还是说proteus的仿真设置有问题？… 查看全部问答∨	全国大学生电子竞赛430竞赛体验电子竞赛时同实验室的同学用了msp4305系列的的单片机作为竞赛的主控，感觉25Mhz的速度的确给力不少，我们做的都是A题，一个用stm32，一个用430的系统效率高了大概2个百分点，可见要发挥其低功耗特性，如何编程以及系统的整体设计方案才是最重要的， ...… 查看全部问答∨
at5011A在200kHz出现一个比本底高10dB的峰值买了台at5011A用了一端时间，现在在200kHz出现一个比本底高10dB的峰值（打开了视频滤波器和20k中频滤波器）不知道是什么问题？… 查看全部问答∨	[建议]对下载中心实现初步预览效果的想法请看效果图：两种效果功能：在上传资源页面添加上传预览图的功能。我想这样可以减轻管理员审核的工作量。如果要在第一个图中放广告的话，可以把预览图放到进入下载页面的下面。不知道的我的想法是否可行？… 查看全部问答∨

小广播

ZT:值得你跟随的十种老板一、能够在员工需要的时候给员工提供指导，帮助员工发展的老板　　老板虽然与下属是上下级关系，但是没有下属的支持和协作，再出色的老板都无法独自让公司正常运作。对企业来说，员工是重要的组成部分，但员工不能完全等同于“零件”，过于关心 ...… 查看全部问答∨	初学者问LPC2478的问题我设计一LPC2478的电路板，然后在PC机上利用ADS1.2和HJTAG建立开发环境，发现一个非常奇怪的问题：当插上EasyJTAG，利用DebugInFlash或ReleaseInFlash选项将程序下载到LPC2478中的时候，程序能运行起来；而当拔下EasyJTAG，程序怎么也不能跑起 ...… 查看全部问答∨
【外包】升级上网卡miniport驱动NDIS5.1至6.2。已有源码及文档现有一个NDIS5.1的无线上网卡miniport驱动程序，根据微软的要求需要升级到NDIS6.2版本。我们现在手头有的材料包括NDIS5.1源程序，相关文档资料。还需要做的就是根据NDIS6.2的文档进行升级，要求升级后的驱动能够实现相应的功能，并且能够通过微软 ...… 查看全部问答∨	百利通-CDMA短信猫,深圳短信猫,八口短信猫池(400-657-8590) 百利通(400-657-8590)CDMA短信猫,深圳短信猫,八口短信猫池随着手机及短信的普及，越来越多的行业开始发展企业短信应用，短信猫设备凭借其低成本、稳定可靠的点对点通信、方便快捷接入的优势已经成为企业短信领域重要的 ...… 查看全部问答∨
求救，触摸屏下的中文输入开发需要注意什么，我的面试题面试官给我一个星期的时间做一个报告。关于技术，成本，开发周期的。别的不管，就说技术方面。大家帮我提一些技术上需要考虑的问题，开发的困难之处，谢谢。所有的分相送… 查看全部问答∨	【有图】STM32F103Datasheet有关的问题看看D、D1、E、E1四个参数的公制和英制的对应。看出门道的请跟帖… 查看全部问答∨
proteus与multisim仿真结果不同？以上两个图是对同一信号发生电路的仿真，前者是proteus的，后者是multisim的，proteus完全没有产生正弦波形，其输出基本不变，是不是我选的proteus的器件模型有问题啊，还是说proteus的仿真设置有问题？… 查看全部问答∨	全国大学生电子竞赛430竞赛体验电子竞赛时同实验室的同学用了msp4305系列的的单片机作为竞赛的主控，感觉25Mhz的速度的确给力不少，我们做的都是A题，一个用stm32，一个用430的系统效率高了大概2个百分点，可见要发挥其低功耗特性，如何编程以及系统的整体设计方案才是最重要的， ...… 查看全部问答∨
at5011A在200kHz出现一个比本底高10dB的峰值买了台at5011A用了一端时间，现在在200kHz出现一个比本底高10dB的峰值（打开了视频滤波器和20k中频滤波器）不知道是什么问题？… 查看全部问答∨	[建议]对下载中心实现初步预览效果的想法请看效果图：两种效果功能：在上传资源页面添加上传预览图的功能。我想这样可以减轻管理员审核的工作量。如果要在第一个图中放广告的话，可以把预览图放到进入下载页面的下面。不知道的我的想法是否可行？… 查看全部问答∨

我想rbf神经网络算法入门，应该怎么做呢？了解 RBF（Radial Basis Function）神经网络算法可以按照以下步骤进行：了解基本概念：首先，你需要了解 RBF 神经网络的基本概念。RBF 网络是一种由径向基函数（Radial Basis Function）组成的人工神经网络。它通常包括输入层、隐藏层和输出层，其 ...… 查看全部问答∨	对于ni fpga使用入门，请给一个学习大纲以下是适合入门学习NI FPGA的学习大纲：FPGA基础知识了解FPGA的基本概念、特点和应用领域。了解NI FPGA硬件平台的特点和功能。NI FPGA开发环境搭建下载并安装NI FPGA的开发工具（如LabVIEW FPGA Module）。熟悉开发环境的界面和功能。LabVIEW FPGA ...… 查看全部问答∨
研一深度学习如何入门作为研究生一年级（研一）入门深度学习，可以按照以下步骤进行：建立数学基础：深度学习涉及到大量的数学知识，包括线性代数、概率统计、微积分等。建议先学习这些数学基础知识，以便更好地理解深度学习算法的原理。学习编程技能：掌握至少一门编程 ...… 查看全部问答∨	我想卷积神经网络快速入门，应该怎么做呢？快速入门卷积神经网络（CNN）可以按照以下步骤进行：理解CNN的基本原理：阅读简要的CNN介绍，包括卷积层、池化层和全连接层等基本组件的作用和原理。学习常用的CNN模型：了解一些常用的CNN模型，如LeNet、AlexNet、VGG、ResNet等。可以通过阅读相 ...… 查看全部问答∨
我想fpga基础入门，应该怎么做呢？入门 FPGA 技术是一个循序渐进的过程，以下是您可以遵循的步骤：了解 FPGA 的基础知识：了解 FPGA 的概念、原理和工作方式。研究 FPGA 的架构、资源（如逻辑单元、片上存储器、DSP 资源等）和编程方式。选择合适的 FPGA 开发板：选择一款适合您学习 ...… 查看全部问答∨	对于pcb画图软件初学，请给一个学习大纲以下是适合初学者的 PCB 画图软件入门学习大纲：1. 了解 PCB 画图软件选择一款适合初学者的 PCB 画图软件，例如 KiCad、EasyEDA、Altium Designer 等。了解软件的特点、功能和适用场景。2. 学习软件界面和工具熟悉软件的界面布局，包括工具栏、菜单 ...… 查看全部问答∨
初学者如何理解神经网络作为电子领域资深人士，你可能已经具备了一定的数学和工程背景，因此理解神经网络可以从更深入的角度入手：数学原理：理解神经网络背后的数学原理是非常重要的。学习神经网络的基本数学概念，如线性代数、微积分和概率论，可以帮助你更好地理解神经 ...… 查看全部问答∨	对于机器学习小白入门，请给一个学习大纲以下是一个适用于电子领域的机器学习小白入门的学习大纲：理解机器学习基础概念：学习什么是机器学习以及它在电子领域中的应用。了解监督学习、无监督学习和强化学习等基本类型的机器学习算法。学习编程基础：学习一门编程语言，如Python，作为学习 ...… 查看全部问答∨
对于大数据之卷积神经网络入门，请给一个学习大纲以下是一个适用于电子领域资深人士入门大数据中的卷积神经网络（CNN）的学习大纲：1. 数学基础复习线性代数和微积分的基础知识，包括矩阵运算、导数、偏导数等。学习卷积运算的基本原理和数学推导，理解卷积在图像处理中的应用。2. Python编程基础 ...… 查看全部问答∨	机器不学习cnn入门如何理解理解卷积神经网络（CNN）的基本原理对于电子工程师是非常重要的，即使你暂时不打算使用机器学习或深度学习技术。以下是一些简单的步骤，可以帮助你理解CNN的基本概念：学习基本概念：理解神经网络的基本结构和工作原理，包括神经元、层次结构和前向 ...… 查看全部问答∨

2020年09月22日 | 新思科技：许多组织仍会提交易受攻击的代码