ESG: многие разработчики считают приемлемым выпускать в продуктив код с известными уязвимостями

Исследования, проведенные специалистами фирмы Enterprise Strategy Group (ESG), показывают, что во многих организациях считается приемлемым выпускать в производство программный код с известными уязвимостями. При этом в организациях полагают, что их собственные средства обеспечения безопасности на уровне приложений надежны. Конечно, решение о выпуске обычно сопровождается анализом рисков, составлением плана ликвидации уязвимости, а иногда — временными мерами по снижению риска. Но выпуск, как правило, необходим из-за опасности срыва сроков, и это показывает, насколько важно начинать работу над безопасностью приложения как можно раньше в процессе разработки. Такой принцип принят в методике DevSecOps.

Разработчики используют множество разных инструментов анализа безопасности приложений. Однако 29% опрошенных указывают, что разработчикам не хватает знаний для того, чтобы устранить выявленные инструментами проблемы, а 26% считают, что эти инструменты слишком сильно замедляют разработку. При этом сами разработчики достаточно редко проходят обучение в области безопасности. Значительное место в разработке занимают компоненты и платформы с открытым исходным кодом. Но меньше половины компаний вкладывают средства в поиск уязвимостей в таких компонентах. Из-за сложной системы взаимозависимостей компонентов с открытым исходным кодом один уязвимый компонент может привести к появлению уязвимости во многих приложениям.