一項由流式軟件公司JFrog贊助的IDC最新調查揭示了企業在DevSecOps方面面臨的隱性成本問題。該調查顯示,企業在每位開發人員身上每年平均花費約2.8萬美元,用于處理軟件安全相關的任務,如手動應用程序掃描審查、上下文切換和機密信息檢測等。
調查指出,50%的高級開發人員、團隊領導、產品負責人和開發經理反映,他們在軟件安全任務上的時間投入顯著增加,這嚴重影響了他們的創新能力以及新業務應用程序的構建和交付效率。
JFrog Security首席技術官Asaf Karas表示:“企業在確保軟件供應鏈安全方面本就面臨挑戰,若還需使用多種工具,情況將更為復雜。這迫使開發人員頻繁地在多個線上工作環境之間切換,從而降低工作效率,增加時間成本,同時也帶來了更高的風險。IDC的調查為企業投資于更精簡的安全流程、工具和培訓提供了有力的依據,這些投資將有助于開發人員更高效、更有力地保護軟件供應鏈。”
調查報告顯示,半數受訪對象每周約有19%的時間用于處理安全相關任務,且這些任務往往在正常工作時間之外進行,導致他們對軟件安全采取被動措施而非主動預防。
調查的其他主要發現包括:開發人員平均花費3.5小時手動審查安全掃描結果以排除誤報;69%的開發人員認為,他們的安全相關職責要求他們在各種工具之間頻繁切換上下文,降低了工作效率;開發人員將50%的時間用于解析密鑰掃描結果、修改代碼以及更新密鑰管理措施;超過54%的開發人員表示他們每周或每月運行一次基礎設施即代碼(IaC)掃描;盡管靜態應用安全測試(SAST)工具已被集成到本地開發環境中,但只有23%的開發人員在將代碼部署到生產環境之前運行SAST掃描。
IDC DevSecOps和軟件供應鏈安全研究經理Katie Norton表示:“DevSecOps不僅是企業的當務之急,也是構建未來安全應用程序的基石。然而,如何克服效率低下、應用不當的工具帶來的挑戰,避免它們耗費開發人員的時間并增加成本,是行業面臨的一大難題。要想取得成功,IT和軟件開發團隊的領導者必須將重復耗時的任務自動化,確保DevSecOps工具能以極低的誤報率實現精準交付,并為開發人員提供持續的應用安全教育和資源。”
此次IDC信息簡報的調查對象包括來自美國、英國、法國和德國的20多家員工規模在千人以上的公司的高級開發人員、團隊管理者、產品負責人和開發經理。
關于JFrog,這是一家致力于創造一個從開發人員到設備之間暢通無阻的軟件交付世界的公司。秉承“流式軟件”的理念,JFrog軟件供應鏈平臺是一個統一的記錄系統,幫助企業快速安全地構建、管理和分發軟件,確保軟件的可用性、可追溯性和防篡改性。其集成的安全功能還有助于發現和抵御威脅和漏洞并加以補救。JFrog的混合、通用、多云平臺可以作為跨多個主流云服務提供商的自托管和SaaS服務,全球數百萬用戶和7200多名客戶,包括大多數財富100強企業,都依靠JFrog解決方案安全地開展數字化轉型。
