Перспективы разработчика на улучшение Appsec

Анализ результатов опроса разработчиков JIT

Даже в компаниях с крупными, выделенными группами безопасности успешная программа Appsec начинается и заканчивается разработчиками. Команды разработчиков сталкиваются с множеством препятствий в своем стремлении написать защищенный код и решить проблемы безопасности кода, включая сложные архитектуры приложений, отсутствие времени и обучения, а также организацию, которая приоритет скорости выпуска над безопасностью. Чтобы раскрыть эти болевые точки и узнать, как компании могут лучше поддерживать команды DEV, JIT провела опрос 150 разработчиков в разных отраслях и размерах компании, чтобы спросить, что разработчики думают об AppSec в 2025 году. Давайте погрузимся в результаты.

Преодоление самых больших проблем приложений

Когда его попросили оценить самые большие проблемы безопасности кода, разработчики выбрали сложность современной архитектуры приложений в качестве своего главного выбора. Они определили сложность различными способами, в том числе понимание нехватки безопасности многих различных услуг и технологий, управление безопасностью многих различных интегрированных услуг и смягчение известных уязвимостей в взаимосвязанных цепях зависимости. Этим сложности разработчикам труднее преодолеть из-за отсутствия знаний, обучения и руководящих принципов, отсутствия организационного приоритета и отсутствия времени, следующих трех вызовов.

Один из способов помочь уменьшить сложность - это использовать автоматизированную платформу для тестирования безопасности, которая объединяет все различные сканеры, необходимые для Appsec в одном месте. Например, JIT объединяет 10 необычных сканеров вместе с пользовательскими тестами на одной платформе. Он работает на всех основных языках программирования и облачной инфраструктуры, чтобы уменьшить интеграцию головных болей. JIT также использует контекст времени выполнения обнаруженных проблем безопасности для сортировки и распределения приоритетов каждого риска, предоставляя упрощенные панели инструментов, где разработчики могут легко просматривать и смягчить уязвимости. JIT даже предоставляет автоматические предложения по исправлению, поэтому разработчики могут быстро решить проблемы с одним кликом, даже без специализированного обучения безопасности.

Автоматизированные инструменты, помогающие разработчикам обеспечить свой код

Когда его спросили, что, по их мнению, являются наиболее эффективными стратегиями для обеспечения своего кода, разработчики ранжировали автоматическое тестирование (SAST, SCA, обнаружение секретов) в трубопроводе CI/CD или IDE вверху с четкой маржой.

Разработчиков также спросили, как их компания поддерживает их в создании защищенных приложений, и главный ответ был реализован сканеры безопасности. Эти результаты показывают, что большинство разработчиков уже имеют автоматизированное инструмент безопасности и находят эти решения более полезными, чем обзоры ручного кода, программы осведомленности о безопасности и другие меры, которые занимают драгоценное время. Автоматизированные сканеры не просто экономят время; Они также часто ловят проблемы, которые могут пропустить человеческие рецензенты.

Тем не менее, автоматизированные сканеры могут создавать дополнительную сложность, если не правильно интегрироваться в трубопровод CI/CD или среду разработки. Многие решения также известны для создания большого количества ложных срабатываний, которые разработчики должны сортировать, чтобы расставить приоритеты на реальных рисках.

В дополнение к предоставлению бесшовных интеграций с инструментами разработки и безопасности, автоматическая платформа для тестирования JIT помогает уменьшить сложность с контекстуальной приоритетом. Эта функция приоритет проблемам кода и облачной безопасности на основе их времени выполнения и бизнес -контекста, обеспечивая автоматизированную оценку риска, чтобы помочь разработчикам отделить сигнал от шума и уменьшить ложные срабатывания.

Как команды разработчиков преодолевают пробелы в знаниях

Разработчики обычно не являются экспертами по безопасности, поэтому важно понять, куда они идут, чтобы ответить на вопросы безопасности кода. Интересно, что многие разработчики обращаются к внешним источникам, включая онлайн -документацию от поставщиков и торговых публикаций, а также форумов, блогов и сообществ, таких как переполнение Stack и Reddit.

Эти источники, по -видимому, недостаточно, чтобы помочь командам разработчиков преодолеть пробелы знаний о безопасности кода на основе ответов на следующий вопрос:

Только 7% участников полностью согласны с тем, что они могут последовательно и независимо доставлять безопасный код, что указывает на необходимость лучшего инструмента и ресурсов. Например, платформа JIT предоставляет упрощенный разработчик UX, который интегрирует весь процесс сканирования и восстановления безопасности кода в среду DEV. Он обеспечивает автоматическую обратную связь о безопасности каждого изменения кода и предлагает автоматическое восстановление, что позволяет разработчикам пропорционально и самостоятельно обеспечить свой код.

Получить разработчиков более участвовать в безопасности

Когда его спросили, как часто они участвуют в деятельности, связанных с безопасностью, в течение жизненного цикла разработки, таких как обзоры безопасности, разрешение проблем и моделирование угроз, колоссальные 62% участников отвечали несколько раз в год или никогда. Несмотря на то, что изначально этот результат имеет смысл по сравнению с вопросом номер один - с отсутствием времени, обучения и организационной приоритетов, неудивительно, что разработчики не более вовлечены. Участники конкретно отметили, что безопасность часто деприоритируется в пользу доставки функций.

Разработчиков попросили описать сотрудничество между группами развития и безопасности их компании, и большинство из них сообщили умеренно позитивно. Только 8% участников описали свое сотрудничество как превосходное и без необходимости улучшения.

Отсутствие участия и только умеренное сотрудничество становятся более тревожными в отношении результатов следующего вопроса. Когда его спросили, как сильно они согласны или не согласны со следующим утверждением: «У меня есть полная видимость в безопасности моих услуг и наиболее важных уязвимостей безопасности, которые необходимо решить», 47% разработчиков не согласились в некоторой степени.

Что нужно, так это платформа, такая как JIT, которая вкладывает Appsec в руки разработчиков, не добавляя трения в свои рабочие нагрузки. Dev-National UX, автоматизированное исправление и упрощенные панели мониторинга дают разработчикам полную видимость и контроль над безопасностью кода при соблюдении ускоренных графиков доставки.

Улучшение культуры безопасности в командах разработчиков

Результаты предыдущих вопросов подчеркивают отсутствие культуры безопасности в командах разработчиков, и когда его попросили напрямую описать культуру безопасности, разработчики согласились. 61% участников ответили, что безопасность является лишь «несколько важной» или вообще не приоритетом в своей культуре, и Appsec не была интегрирована в их процедуры. Была корреляция между более сильной культурой безопасности и уверенностью разработчика в их способности доставлять безопасный код, показывая, насколько важно для организаций сбалансировать приоритеты между безопасностью и доставкой.

Объединенная платформа для тестирования JIT и организации UX HERS, удобные для разработки, внедряют автоматизированную и практическую программу приложений, которая проще для разработчиков. Это легкая интеграция, и активация на один щелчок затрудняет расстановку от приоритетов безопасности, а также предоставление новых функций по графику.

JIT помогает разработчикам последовательно и независимо доставлять безопасный код

JIT помогает разработчикам обеспечить свой собственный код, уменьшая сложность с помощью унифицированной платформы из более чем 10 необоснованных сканеров безопасности. Полностью интегрируясь в конвейеры CI/CD и среды разработчиков, он уменьшает трение между DEV и безопасностью и улучшает влияние, которое автоматическое тестирование оказывает на рабочие нагрузки разработчиков. Контекстный двигатель JIT помогает разработчикам сортировать и сосредоточиться на проблемах высокого риска, в то же время отфильтровывая ложные срабатывания, что позволяет им выполнять повседневные требования приложения при при одновременном предоставлении функций. Объединенная платформа для тестирования JIT и упрощенные информационные панели позволяют организациям определять приоритеты безопасности без задержки циклов разработки.

Чтобы получить больше понимания, загрузите наш отчет: что разработчики думают о безопасности в 2025 году - и почему это важно