《新思科技（Synopsys）：2023年全球DevSecOps現狀調查報告（36頁）.pdf》由會員分享，可在線閱讀，更多相關《新思科技（Synopsys）：2023年全球DevSecOps現狀調查報告（36頁）.pdf（36頁珍藏版）》請在三個皮匠報告上搜索。

1、2023年全球DevSecOps現狀調查影響軟件安全的策略、工具和實踐 2023 年 DevSecOps 現狀調查 概述 關于Synopsys 2023年DevSecOps現狀調查 報告 關于DevOps和DevSecOps自動化的好處ASOC/ASPM在DevSecOps中的應用日益增長Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征 附錄概述關于Synopsys 2023年DevSecOps現狀調查 報告 2023年初，Synopsys網絡安全研究中心(CyRC)聯合國際市場研究咨詢公司Censuswide，對負責安

2、全事務的1,000名IT專業人士開展了一項調查。受訪者包括開發人員、AppSec專業人員、DevOps工程師、CISO以及在技術、網絡安全和應用/軟件開發領域擔任各種職務的專家。受訪者來自美國、英國、法國、芬蘭、德國、中國、新加坡和日本。所有的受訪者都有資格參與調查，與其所屬行業和公司規模無關。開發本次調查面臨的挑戰之一是“DevSecOps”一詞涵蓋了多個學科，其中許多學科都有自己獨特的角色。本次調查希望覆蓋不同專業背景的人士，既包括“直接”編寫代碼的開發者，也包括從事軟件安全相關工作的CISO級別的人員關于DevOps和DevSecOps加速開發、持續交付、管道彈性、可擴展性和端到端透明度

3、是實現DevOps的關鍵原則。滿足這些標準需要開發、安全和運維人員共同努力。DevSecOps是DevOps方法論的延伸，旨在向多個團隊灌輸安全文化，并且盡早在DevOps環境中通過一致的方式來解決安全問題。通過將安全實踐集成到軟件開發生命周期(SDLC)和CI管道中，DevSecOps旨在將安全性從一個獨立的階段轉變為開發生命周期的一部分。DevSecOps在涉及軟件開發的各個組織中都廣受歡迎。SANS 2023年DevSecOps現狀調查 顯示，DevSecOps已經成為一種重要的業務實踐和風險管理方法。但在過去，當安全團隊和開發團隊試圖把安全性納入他們的流程時，經常會有不同意見，這很大程

4、度上是因為這種做法會把傳統的應用安全測試(AST)工具引入軟件開發生命周期(SDLC)。開發者經常抱怨AST工具太復雜、難以學習、性能低下以及產生大量“噪音”，這些都會給DevOps帶來“摩擦”也就是，那些在軟件開發過程中阻止開發人員輕松快速構建代碼的各種東西。大多數受訪者表示，他們對自己使用的AST工具普遍感到不滿35%34%33%33%工具不能根據漏洞的暴露程度、可利用性和嚴重程度來確定修復順序因速度太慢而無法適應快速的發布周期/持續部署不準確/不可靠性價比低 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 一致性自動測試可確保對每一次的構建和部署一

5、致地進行安全檢查。手動測試可能會導致測試過程和覆蓋范圍不一致?？蓴U展性隨著軟件復雜性的增長，手工測試將變得不切實際。自動測試容易擴展，以便跨越不同組件進行大量測試。持續集成和持續部署(CI/CD)自動測試在CI/CD管道中至關重要，因為這些管道中會發生快速而頻繁的代碼變更。自動測試可以快速驗證變更，防止錯誤代碼進入生產環境。持續改進自動測試提供數據和洞察，可以幫助開發和安全團隊隨時間的推移改進安全實踐，允許他們系統地分析和處理漏洞模式。記錄自動測試可以記錄整個測試過程，從而更容易跟蹤和審計安全措施與合規要求。減少人為錯誤由于疲勞或疏忽，手動測試容易出錯。自動測試遵循預定義的腳本，能夠降低人為錯

6、誤的風險。節省時間和成本在開發過程的后期或生產過程中識別和修復安全問題既耗時又昂貴。自動測試可將這些費用降至最低。改進開發者體驗自動的應用安全測試允許開發者采取主動的、全面的、有助于學習和提高安全知識和技能的方式來解決安全問題，從而增強開發者體驗，最終提高軟件安全性并提升整個開發過程的效率。.自動化的好處DevOps的核心原則是在SDLC的每個階段都自動執行手動流程。對任何組織而言，自動化都是通過持續集成或持續部署來加速開發和交付代碼的基本前提。成功的DevSecOps需要集成和自動化的相互作用，以及標準和策略的指導。這樣，既能讓安全團隊相信安全利益得到了保障，又能讓DevOps團隊保持工作狀

7、態，相信不會發生管道中斷的情況。與手動測試不同，自動安全測試可以快速一致地執行，使開發人員能夠在開發過程的早期階段發現問題，不會影響到交付進度或工作效率。概述關于Synopsys 2023年DevSecOps現狀調查 報告 關于DevOps和DevSecOps自動化的好處ASOC/ASPM在DevSecOps中的應用日益增長Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 ASOC/ASPM在 DevSecOps中的應用日益增長

8、本報告對處于DevSecOps不同成熟階段的組織進行了考察，包括他們的特征，以及他們采用的安全工具/實踐。我們將根據調查結果為其提供指導性建議，幫助他們進一步提高軟件安全的成熟度。有趣的是，從調查結果中可以看出，應用安全編排與關聯(ASOC)現在一般稱為“應用安全態勢管理”(ASPM)的使用越來越普遍。根據Gartner的說法，對于使用多種開發和安全工具的任何組織而言，ASPM都應該是優先考慮的重要事項。從開發到部署，ASPM解決方案能夠持續管理各種應用風險，包括安全問題的檢測、關聯和優先級排序。ASPM工具可以從多個來源獲取數據，然后關聯并分析它們，以實現更輕松的解釋、分類和補救。ASPM還

9、充當安全工具的管理和編排層，支持安全策略的控制與實施。ASPM擁有應用程序安全結果的綜合視角，從而提供了整個應用程序或系統的安全與風險狀態的完整視圖。鑒于這1,000名受訪者中的大多數人都對其正在使用的AST工具普遍感到不滿 抱怨這些工具無法根據業務需求確定修復的優先級(35%)，也無法合并/關聯數據來幫助解決問題(29%)因此，ASOC/ASPM的使用呈現快速增長趨勢也在情理之中。28%28%的受訪者表示，他們的組織使用了ASOC工具概述 關于Synopsys 2023年DevSecOps現狀調查 報告 關于DevOps和DevSecOps自動化的好處ASOC/ASPM在DevSecOps中

10、的應用日益增長Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 Synopsys 2023年DevSecOps現狀調查 的主要發現 大多數DevOps團隊都在某種程度上采用了DevSecOps 共有91%的受訪者表示，他們已將開展DevSecOps活動的某些安全措施納入到了軟件開發管道中?？梢钥隙ǖ卣f，采用DevSecOps方法論現已成為軟件開發的一部分。擁有更成熟的安全計劃的組織有專人負責安全事務29%的受訪者表示，他們擁有跨

11、職能部門的DevSecOps團隊 由開發、安全和運維部門成員構成的協作團隊，這是安全計劃取得成功的重要因素。專注于安全、與開發人員/軟件工程師和/或 QA 和測試合作的人員可能處于擁有成熟安全計劃的組織中安全測試的第一線。有效實施DevSecOps存在許多障礙超過33%的受訪者指出，缺乏安全培訓是主要障礙。緊隨其后的是安全人員短缺(31%)、開發/運維工作缺乏透明性(31%)以及優先事項的不斷變化(30%)。超過三分之一的受訪者表示，將自動安全測試集成到構建/部署工作流中是安全計劃取得成功的關鍵其他的主要成功因素還包括通過基礎架構即代碼來執行安全/合規策略，在開發和運維團隊中培養安全支持者(s

12、ecurity champions)，以及加強開發、運維和安全團隊之間的溝通等。在SDLC后期處理重大漏洞，會極大地削弱收益超過80%的受訪者表示，2022-2023年間，已部署軟件中的重大漏洞/安全問題以某種形式影響了他們的工作進度。28%的受訪者表示，他們的組織需要長達三周的時間來修補已部署應用程序中的重大安全風險/漏洞；另有20%的受訪者表示，這可能需要一個月的時間考慮到現在的漏洞利用速度比以往任何時候都要快，這些數字尤其令人感到不安。最新研究表明 超過一半的漏洞在披露后的一周內即被利用。超過70%的受訪者表示，通過自動掃描代碼來查找漏洞或編碼缺陷是一種有用的安全措施，34%的受訪者認為

13、自動AST“非常有用”對代碼進行安全漏洞和其他缺陷的自動化掃描，在“工具/流程的有用性”類別中排名第一，緊隨其后的是“在SDLC的需求挖掘階段明確安全需求”以及“通過BSIMM和SAMM等模型對軟件安全計劃進行正式評估”。幾乎所有的受訪者都認為AST工具與其業務需求不符 在1,000名受訪者中，大多數人都認為AST工具存在各種各樣的問題是他們面臨的主要挑戰，包括這些工具無法根據業務需求對修復措施進行優先級排序(35%)，也無法合并/關聯數據來幫助解決問題(29%)。52%的安全專業人員已經開始在DevSecOps活動中積極使用AI，但超過四分之三的人擔心AI的使用問題 調查結果表明，安全團隊正

14、在積極使用AI、機器學習、自然語言處理和神經網絡。然而，隨著生成式AI工具（如AI驅動的編碼建議）的使用日益增多，引發了圍繞AI所生成代碼的一系列知識產權、版權和許可問題，某些情況下甚至引起了訴訟。概述 Synopsys 2023年DevSecOps現狀調查 的主要發現 2023年DevSecOps現狀調查 經驗教訓受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 2023年DevSecOps現狀調查DevSecOps部署在1,000名受訪者中，超過三分之一的受訪者認為其安全計劃已經達到了成熟度的第三級，即整個組織的安全流程都是文檔化的、

15、可重復的和標準化的。另有25%的受訪者認為其安全計劃已經達到了第四級，即安全流程也被記錄，同時還被監控和評估。共有91%的受訪者表示，他們已將某種類型的DevSecOps活動應用到軟件開發管道中，采用DevSecOps似乎已成為DevOps的既定組成部分。第一級：安全流程是非結構化的/無組織的。8.5%第二級：安全流程是文檔化的，并且對于特定的團隊是可重復的。24.1%第三級：第二級所述流程和程序在整個組織中是標準化的。積極主動的安全文化得到了領導層的認可和宣傳。34.3%第四級：安全流程和控制是有記錄的、被管理和監控的。24.5%第五級：安全流程是持續分析和改進的。8.5%圖 A 您認為貴組

16、織當前的軟件安全項目/計劃的成熟度處于哪一級？概述 Synopsys 2023年DevSecOps現狀調查 的主要發現 2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 安全實踐的實施代表更高級別的成熟度DevSecOps成熟度的另一個衡

17、量標準如圖B所示，表明受訪者已經采用了廣泛的安全實踐，從持續監控和評估(30%)到自動測試(28%)。作為被358名受訪者(35.1%)提及的最佳實踐，“安全風險管理”涉及在開發過程中的每個階段整合安全考慮因素，以識別、評估和減輕與軟件應用相關的潛在安全風險。在SDLC的框架下，整體安全風險管理涵蓋以下活動：需求分析。在SDLC中盡早識別安全需求和限制，并定義安全目標。設計。將安全原則納入到系統架構和設計中，以確保應用程序的設計包含針對常見漏洞的適當防護措施。開發。實施安全編碼實踐，并遵守解決安全問題的編碼標準。使用集成的安全測試工具，如靜態應用安全測試(SAST)和軟件組成分析(SCA)，在

18、編寫代碼和引入開源或第三方代碼時捕獲漏洞。測試。執行各種類型的安全測試來識別應用程序中的漏洞，如SAST、動態應用安全測試(DAST)、SCA和滲透測試。部署。安全地配置應用程序的運行環境。實施訪問控制、網絡安全以及適當的身份驗證和授權機制。監控與評估。持續監控生產環境中的應用程序，以發現安全事件和異常情況。實施日志記錄和監控解決方案，以檢測和響應潛在的違規行為。30%的受訪者表示，這是其組織采用的主要安全實踐。響應和補救。制定事件響應計劃，以快速有效地處理安全事件。修復在測試階段檢測到的問題。透明度和安全性。建立明確的規范、標準和策略，并報告安全風險和風險容忍度。培訓。為開發團隊提供安全編碼

19、實踐、常見漏洞和最佳安全實踐方面的培訓，以使開發人員能夠主動解決安全問題。遺憾的是，34%的受訪者認為，“開發人員/工程師的安全培訓不足/無效”是導致其組織無法有效實施DevSecOps的主要障礙之一。持續改進。定期審查和改進SDLC中的安全流程和實踐。圖 B 貴組織采用哪些安全實踐？（選擇所有的適用項）持續監控和評估29.9%安全風險管理35.1%配置管理29.6%威脅數據和響應29.3%持續部署29.1%自動部署28.6%持續測試28.5%持續集成28.2%應用安全編排與關聯28.4%自動測試27.9%基礎架構即代碼27.6%概述 Synopsys 2023年DevSecOps現狀調查 的

20、主要發現 2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 評估安全計劃近70%的受訪者表示，通過軟件安全構建成熟度模型(BSIMM)等評估工具來評估其安全計劃是有用的，超過三分之一的受訪者認為此

21、類評估“非常有用”。對安全態勢進行外部評估，有助于您分析軟件安全計劃，并將其與其他組織和同行進行比較。BSIMM等工具能夠提供數據驅動的客觀分析，可以幫助您在此基礎上做出資源、時間、預算和優先級決策。無論您是剛開始實施安全計劃，還是想讓現有計劃適應不斷變化的業務和安全需求，與其他軟件安全計劃進行比較都能為您的策略提供指導。如果您正在負責軟件安全計劃或剛剛開始制定軟件安全計劃，了解同行的AppSec趨勢可以幫助您對自己的安全工作做出戰略性的改進。如果您從技術角度來管理安全計劃，可以借助BSIMM或軟件保障成熟度模型(Software Assurance Maturity Model,SAMM)評

22、估所獲得的信息，為人員和流程制定戰術性的改進方案，例如制定安全支持者(Security Champions)計劃。事實上，根據 BSIMM報告 許多軟件安全團隊首先要做的事情之一就是找出那些在軟件安全方面起到推動作用但與軟件安全團隊沒有直接聯系的人員。這些人統稱為“軟件安全支持者”，能夠支持和推動軟件安全工作。例如，工程團隊中的安全支持者可以鼓勵工程師對自己的軟件交付件的安全負責。33%的受訪者認為，制定安全支持者計劃是軟件安全計劃取得成功的關鍵因素之一。33%的受訪者認為，在開發和運維團隊中培養安全支持者是軟件安全計劃取得成功的重要因素圖 C 通過BSIMM和SAMM等模型對軟件安全性進行正

23、式評估的有效性.有用(凈占比)69.4%不太有用18.1%非常有用33.6%根本沒用8.4%有點用35.8%沒用(凈占比)26.5%概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecO

24、ps 現狀調查 跨職能團隊對DevSecOps取得成功的重要性29%的受訪者指出，跨職能的DevSecOps團隊 由開發、安全和運維人員組成的協作團隊 是安全計劃取得成功的關鍵（見附錄Q16）。安全專業人員，與開發人員/軟件工程師及/或質量保證和測試團隊協作（無論是正式加入DevSecOps團隊還是其他方式），都可能成為安全測試的第一道防線，助力組織打造更成熟的安全計劃。在部署前后僅由安全團隊進行單一的流水線式測試已成為過去式。在當今的軟件開發環境中，安全測試是整個工程團隊的責任，包括質量保證、開發和運維團隊，并且大多數團隊都會在軟件開發生命周期的不同階段將安全性構建到他們的軟件中。33%的受

25、訪者表示，他們的組織也會聘請外部顧問進行安全測試。這里的最佳實踐是定期進行安全審計。委托第三方審計人員或滲透測試人員開展此類測試，有助于客觀了解整個組織的安全態勢，這是非常寶貴的。內部安全團隊46.0%開發人員/軟件工程師45.1%質量保證/測試團隊37.6%跨職能領域的DevSecOps團隊35.5%外部顧問32.9%圖 D 貴組織由誰負責安全測試？（選擇所有的適用項）概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動

26、和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 手動和自動測試相結合，以取得最佳結果調查結果顯示，大多數受訪者認為，將手動和自動安全測試相結合，可以提供一個更全面的方法來評估關鍵業務應用的安全性。自動測試雖然對于保持一致性、可擴展性以及節省時間和成本很重要，但人工參與可以增加一層洞察力和適應性，這對識別復雜和微妙的安全問題是必不可少的。例如，作為“黑盒”測試（即，在不了解應用內部結構的情

27、況下開展測試），DAST就需要開發者和安全專家對測試結果進行驗證和分類。同樣，44%的受訪者將外部滲透測試視為其安全測試的關鍵組成部分，這一事實證明了滲透測試對內部測試起到重要的補充作用。外部滲透測試通常是為了符合行業規范和標準，能夠帶來額外的好處，例如提供有關貴組織安全態勢的客觀評估，以及對外部攻擊者可能利用的潛在威脅和漏洞的準確模擬。手動和自動評估相結合52.6%外部滲透測試44.2%自動評估和測試43.7%手動評估和/或測試（不包括滲透測試）43.0%不知道/不確定0.2%圖 E 您如何評估或測試關鍵業務應用的安全性？（選擇所有的適用項）概述 Synopsys 2023年DevSecOp

28、s現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 關鍵績效指標本次調查要求受訪者選擇評估其DevSecOps計劃成功與否的前三個關鍵績效指標(KPI)。首當其沖的是“公開漏洞的總體減少”，被295名受訪者提到(29%

29、)，緊隨其后的是“SDLC后期發現的安全相關問題的減少”，被288名受訪者提到(28%)，排在第三位的“問題解決時間”，有281名受訪者提到了這一點(28%)。正如調查結果所示，時間、生產率和成本是前面幾個KPI的三個共同點，也是組織在實現安全SDLC時面臨的挑戰?；蛘?，換句話說，DevSecOps參與者面臨的三個主要問題是：我們如何減少遇到的漏洞/問題的數量？我們如何在SDLC中更早地發現漏洞？我們如何縮短解決問題所需的時間，以減少構建延遲并提高開發效率？公開安全漏洞的數量29.0%圖 F 您用來評估DevSecOps活動成功與否的主要KPI是什么？（最多可選3項）開發流程后期發現的安全相關

30、問題的減少28.3%問題解決時間27.6%解決安全相關問題所花費時間的減少27.4%合規KPI（通過審核的百分比等）23.8%因安全問題造成的構建延遲的減少27.0%客戶提交的服務單數量22.8%因安全問題造成的構建失敗的減少24.4%缺陷逃逸率22.3%我們沒有用來評估DevSecOps活動成功與否的主要KPI1.1%概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使

31、用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 您正在使用哪些AST工具？它們有用嗎？調查結果顯示，成功的DevSecOps策略使用完整的安全工具集來處理整個軟件開發生命周期中的代碼質量和安全問題，包括動態應用安全測試(DAST)、交互式應用安全測試(IAST)、靜態應用安全測試(SAST)和軟件組成分析(SCA)工具。調查結果顯示，SAST是最歡迎的AST工具，72%的受訪者認為它很有用。緊隨

32、其后的是IAST(69%)、SCA(68%)和DAST(67%)。SAST和DAST采用不同的測試方法，適用于不同的 SDLC階段。SAST對于在SDLC早期（即應用部署之前）發現和消除專有代碼中的漏洞至關重要。而DAST則適用于在部署之后發現運行過程中出現的問題，如身份驗證和網絡配置缺陷。IAST則結合了SAST和DAST的某些功能，適用于檢測無法被其他類型的測試識別到的重大安全缺陷。SCA適用于識別和管理開源安全和許可風險，這是現代軟件開發中的一個關鍵需求，尤其是在任何給定應用中可能都有超過四分之三的代碼是開源代碼的情況下。由于許多組織都在使用從獨立軟件供應商處購買的打包軟件，以及物聯網(

33、IoT)設備和嵌入式固件，因此，他們可能還需要在其AST工具箱中開展某種形式的SCA二進制分析。針對安全漏洞和其他缺陷的自動代碼掃描(SAST)開源/第三方依賴性分析(SCA)動態應用安全測試(DAST)交互式應用安全測試(IAST)圖G 貴組織使用的下列應用安全工具有用嗎（如果有的話）？有用(凈占比)71.5%67.6%有用(凈占比)有用(凈占比)67.1%有用(凈占比)68.5%不適用3.4%不適用3.6%沒用(凈占比)25.0%沒用(凈占比)29.2%不適用4.3%沒用(凈占比)28.1%不適用3.8%沒用(凈占比)27.7%概述 Synopsys 2023年DevSecOps現狀調查

34、的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 何時進行測試？何時打補??？這對我們的工作進度有何影響？應用安全測試的頻率取決于多個因素，包括應用程序的業務關鍵性、行業和威脅情況等。正

35、如我們的調查結果所示，對于非常重要的應用程序，應定期進行評估（圖H）。參與本次調查的大多數受訪機構都表示，他們平均每周對業務關鍵型應用進行兩到三天的漏洞掃描。乍看之下，調查結果顯示有28%的組織需要花費長達三周的時間來修補重大漏洞（圖I），這可能令人擔憂，但這要結合其他因素來考慮。有種誤解，以為傳說中的開發者能夠修復所有漏洞，但沒有人會無端地要求開發者去深入研究那些不重要的漏洞。值得注意的是，關于實施DevSecOps的主要障礙，31%的受訪者認為是“開發/運維工作缺乏透明性”，29%的受訪者認為是“開發、運維和安全之間的組織孤島”（圖K）。這兩項都表明了安全和開發團隊之間的風險溝通問題，以及

36、安全策略快速告警和自動化的需求。在任何情況下，漏洞修補的優先級排序都要與待修補資產的業務重要性、關鍵性和資產被利用的風險相一致，尤其是最后一點。研究表明，超過一半的漏洞在披露后一周內被利用。每天7.1%每月一次7.2%每周4-6天17.2%每兩個月一次7.5%每周2-3天20.4%每3-5個月一次6.4%每周一次17.0%每6-11個月一次4.4%每年不到一次，請提供具體數據0%每2-3周一次11.1%每年一次1.7%永不0.2%圖 H 貴組織平均多久對關鍵業務應用的安全性開展一次評估或測試？不到一周，請提供具體天數4.6%2-4個月5.5%1-2周26.4%4-6個月4.7%不確定2.2%2

37、-3周28.3%6個月以上，請提供具體月數0%3周-1個月19.9%1-2個月8.4%圖 I 貴組織平均需要多長時間才能修補/處理已部署的或正在使用的應用程序中的重大安全風險/漏洞？概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教

38、訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 鑒于此，組織需要根據通用漏洞評分系統(CVSS)的分數、通用弱點枚舉(CWE)信息以及漏洞可利用性等因素對漏洞修復進行優先級排序，這一原則不僅適用于漏洞披露的“第零天”，還適用于應用程序的整個生命周期。CVSS分數是評估危險嚴重性的一個工業標準。國家漏洞數據庫(NVD)中的每個漏洞都有一個基本分數，可以幫助計算漏洞的嚴重性，并為漏洞修復的優先級排序提供指導。CVSS分數是在結合考慮漏洞可利用性和影響的基礎上給出的一個綜合性基礎分數。時間分數考慮由于漏洞外部事件而隨時間變化的指標。修復水

39、平（是否有官方的修復方案？）和報告置信度（報告是否經過確認？）可以幫助將CVSS的總體分數調整到適當的風險水平。CWE信息列出了具有安全影響的軟件或硬件缺陷。CWE告訴開發人員哪些缺陷可以被利用（如果有可用的漏洞）。這些信息可以幫助安全和開發團隊了解開發人員安全培訓的重點，在SDLC和生產中實施哪些額外的安全控制，以及是否需要添加風險嚴重性評估機制。例如，開發團隊可能會根據應用程序所接觸的數據情況、部署位置以及其他環境和安全因素，對SQL注入、緩沖區溢出或拒絕服務分配不同的優先級。漏洞的存在會提高風險分數，有助于工作團隊優先安排修復風險最高的漏洞。在評估了總體風險之后，還需要了解是否有現成的補

40、丁、緩解措施或補償控制，這是您需要考慮的另外一些關鍵信息。例如，如果您有兩個中等風險但未被利用的漏洞，那么，先修復哪一個漏洞最終可能取決于它們是否存在現成的補丁或解決方案。在已部署的應用程序中，重大的安全或漏洞問題往往會產生連鎖效應，不僅會影響組織（或其客戶）的業務運營，還會對整個SDLC造成影響，如圖J所示。如果問題在開發早期就被發現，那么，這些問題可能只是小問題，但如果是在部署后的應用程序中被發現，則這些問題可能會演變成“全員參與”的重大問題。集成到IDE和CI管道中的自動安全測試工具可以在代碼提交后立即（甚至在提交之前）識別出代碼中的漏洞和缺陷，使開發人員能夠在問題傳播到下游之前解決它們

41、。沒影響(凈占比)18.9%根本沒有影響1.8%沒什么影響17.2%些許的影響42.7%很大的影響38.4%有影響(凈占比)81.1%圖 J 在過去的一年（2022-2023年），解決一個重大安全/漏洞問題對貴組織的軟件交付計劃產生了多大的影響（如果有的話）？概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我

42、們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 有效DevSecOps面臨的挑戰 網絡安全人才短缺是DevSecOps面臨的一個重大挑戰，如圖K所示，許多組織的關鍵網絡安全崗位都無法招聘到合格人員。一些研究顯示，全球有350萬個網絡安全職位空缺。隨著市場對訓練有素的網絡安全專業人士的需求日益增長，供應的稀缺將導致熟練從業人員的工資上漲，使許多政府機構和中小企業無法負擔。但是，正如圖K所顯示的那樣，“開發人員/工程師的安全培訓不足”仍是排在首位的最大挑戰。經

43、證實，建立安全支持者計劃是解決這些問題行之有效的策略，即從組織內部的各個部門挑選出對安全有著高于平均水平的興趣或技能的人員（這些人員已經開始利用自己的專業知識為開發、質量保證和運維團隊提供支持）。安全支持者可以為新項目出謀劃策和提供反饋，也可以在新興或快速變化的技術領域，幫助安全或工程團隊將軟件安全技能與他們可能欠缺的領域知識相結合。敏捷教練(Agile coaches)、敏捷項目管理人員(scrum masters)和DevOps工程師都是非常適合的安全支持者人選，特別是在發現和消除流程中的摩擦方面。開發人員/工程師的安全培訓不足/無效33.9%應用安全人員/技能短缺31.4%開發/運維工作

44、缺乏透明性31.3%不斷變化的需求和優先級30.4%開發、運維和安全團隊之間的組織孤島29.1%安全計劃和工具的預算/資金不足29.4%安全團隊缺乏編碼技能29.0%圖 K 貴組織實施DevSecOps的挑戰/障礙是什么？（選擇所有的適用項）概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影

45、響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 工具無法根據安全漏洞的暴露程度、可利用性和嚴重程度對修復工作進行優先級排序34.7%無法整合/關聯來自不同工具的結果29.0%工具因速度太慢而無法適應快速發布周期/持續部署34.1%沒有重大問題3.1%性價比低33.5%不準確/不可靠33.1%誤報率高32.2%圖 L 貴組織使用的應用安全測試工具的主要問題是什么？（最多可選3項）如本報告前面所述，SAST、DAST、IAST和SCA等AST工具都已被受訪者廣泛使用，但將這些工

46、具與業務需求有效掛鉤仍然是一個挑戰（圖L）。許多受訪者都抱怨說，他們使用的安全測試工具無法根據安全漏洞的暴露程度、可利用性和嚴重程度等因素對修復工作進行優先級排序；因為速度太慢而無法適應快速發布周期/持續部署；不準確且不可靠。由于無法整合或關聯不同安全測試的結果，安全和DevOps團隊花費了太多時間來確定需要率先修復的漏洞 這可能是近四分之三的受訪者指出他們的組織需要兩周到一個月的時間來修補已知重大漏洞的原因之一（圖I）。不能迅速修補漏洞會影響到根本利益。超過80%的受訪者表示，2022-2023年間，處理已部署軟件中的重大漏洞或相關安全問題影響了他們的工作進度（圖J）。AST工具碎片化和修復

47、速度緩慢正是應用安全編排與關聯(ASOC)和應用安全態勢管理(ASPM)旨在解決的問題。Gartner指出ASOC/ASPM可以作為管理層來編排多個AST工具，自動對發現的問題進行關聯和上下文分析，以加快和優化修復過程。ASOC/ASPM可以提取并整合多個來源的結果，就整個應用環境提供統一風險視圖，從而允許您基于業務背景（如嚴重程度）對修補工作進行數據驅動的優先級排序，以促進對最高風險漏洞的更快修補。ASOC/ASPM還能提供生產環境的可視化，從而解決已部署應用中漏洞修復時間過長的問題，幫助有效避免漏洞利用（大多數的漏洞利用都發生在漏洞披露后的幾天內）。.概述 Synopsys 2023年De

48、vSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 AI的承諾和陷阱調查結果顯示，AI的使用已經深入到許多組織的軟件安全計劃中，超過50%的受訪者表示，他們正在DevSecOps實踐中積極使用AI。54%的

49、受訪者希望通過AI來提高其安全措施的效率和準確性。48%的受訪者希望通過AI來幫助他們減少對安全測試的人工審查?？紤]到AI可能為DevSecOps提供的主要優勢，您會覺得這是很有道理的。AppSec團隊經常陷入兩難的境地，一方面需要進行完整和一致的安全測試，另一方面需要跟上使用DevOps方法論和CI管道的開發團隊的節奏。當截止日期緊迫時，開發人員很容易跳過關鍵的安全風險評估過程。本次調查的受訪者表示，“提高安全措施的準確性和效率”(54%)以及“降低安全數據的人工審查和分析需求”(48%)是他們將AI引入安全SDLC的兩個主要目的。然而，請注意，受訪者還表示，他們預計AI會“增加軟件安全的復

50、雜性和技術要求”，也許有一天，唯一能對AI生成的代碼進行充分審查的實體只有AI自己。是，我們正在積極使用AI工具52.5%否，我們對AI工具的使用持開放態度，但尚未實施36.5%否，我們還沒有實施AI工具，也沒有這樣的計劃11.0%否(凈占比)47.5%提高安全措施的效率和準確性53.7%降低安全數據的人工審查和分析需求48.4%增加軟件安全的復雜性和技術需求52.0%沒有重大影響0.9%圖 N 您預計使用AI工具將對貴組織的DevSecOps流程和工作流有何影響？（選擇所有的適用項）圖 M 貴組織目前是否正在使用AI工具來加強軟件安全措施？概述 Synopsys 2023年DevSecOps

51、現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 在DevSecOps中實施AI還面臨著額外的挑戰，例如確保數據質量以及解決安全和隱私問題。隨著AI工具越來越多地集成到Dev

52、Ops管道中，它們幾乎肯定會成為安全威脅的主要目標。處理用于訓練AI的敏感數據也會引發隱私問題。AI的使用會帶來一些潛在風險，例如AI輔助編碼可能會圍繞著AI創建的代碼產生所有權、版權和許可問題。2022年底，GitHub、Microsoft和OpenAI遭到集體訴訟，指控GitHub Copilot 一款為開發者在編碼時提供自動補全式建議的云端AI工具 侵犯了版權法和軟件許可要求，并且訓練Copilot服務所使用的開源代碼也侵犯了開發者的權利。該訴訟還聲稱，Copilot建議的代碼使用了有許可的材料，但沒有注明出處、版權聲明或遵守原始許可條款。威脅檢測與防御45.1%漏洞掃描與測試44.2%

53、身份和訪問管理42.0%合規和法規管理41.6%圖 O 您認為AI工具可以有效加強哪些特定領域的軟件安全？概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023

54、年 DevSecOps 現狀調查 基于大型語言模型的生成式AI聊天機器人，如ChatGPT和Google Bard，也存在隨機產生“幻覺”的問題，即它們的回復雖然看起來可信和自信，但實際上是錯誤的 用通俗的說法，就是“說謊”。AI幻覺顯然會威脅到軟件供應鏈安全。研究人員發現，ChatGPT可能會為您推薦虛幻的、根本不存在的代碼庫或軟件包。惡意行為者可以創建具有相同名稱的軟件包，在其中填充惡意代碼，然后將其分發給聽從AI建議的毫無戒心的開發人員。這可能會對網絡犯罪分子產生顛覆性的影響，讓他們能夠避開更傳統和容易被發現的技術，如拼寫錯誤或偽裝。事實上，研究人員發現，根據 ChatGPT 的幻覺建議

55、創建的惡意軟件包已經存在于 PyPI 和 npm 等流行的軟件包管理程序中。這種威脅不是理論上的；而是真實存在的，正在發生的。無論供應鏈攻擊是源自AI幻覺還是惡意行為者，要想對其進行防御，就必須了解代碼來源、驗證開發人員和維護人員的身份、并且只從可靠的供應商或來源下載軟件包，這些都是至關重要的。.圖 P 您對基于AI的安全解決方案中潛在的偏差或錯誤有多擔心（如果有擔心的話）？不擔心(凈占比)7.2%一點都不擔心1.2%中立/沒感覺16.2%不太擔心6.0%有些擔心51.3%非常擔心25.4%擔心(凈占比)76.6%概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023

56、年DevSecOps現狀調查DevSecOps部署安全實踐的實施代表更高級別的成熟度評估安全計劃跨職能團隊對DevSecOps取得成功的重要性手動和自動測試相結合，以取得最佳結果關鍵績效指標您正在使用哪些AST工具？它們有用嗎？何時進行測試？何時打補??？這對我們的工作進度有何影響？有效DevSecOps面臨的挑戰 AI的承諾和陷阱經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 經驗教訓 雖然大多數組織在很大程度上采用了某些DevSecOps實踐，但在有效實施方面仍然面臨挑戰。本次調查顯示，問題主要集中在兩個領域。集成和調整多個

57、應用安全測試(AST)工具的結果，使其與業務優先級相一致 減少處理重大漏洞所需的時間 28%的受訪者表示，他們的組織需要長達三周的時間來修補已部署應用中的重大安全風險/漏洞。另有20%的受訪者表示，修補漏洞可能需要長達一個月的時間，但大多數漏洞都會在披露后的幾天內被利用。受訪者表示，他們最不能忍受的是AST工具無法根據業務需求對漏洞修補進行優先級排序。正如本報告在引言部分所述，編寫調查問卷的挑戰之一是術語“DevSecOps”涵蓋多個不同學科，其中許多學科都有自己獨特的角色。就“業務優先級”而言，不同的角色可能對其有不同的理解。例如，業務主管最希望了解AppSec工具的效力，他們希望全面了解其

58、流程及其能給整個團隊帶來怎樣的績效提升。開發和運維團隊希望AppSec能夠幫助他們集中查看所有問題，以確定最有價值的安全活動。安全專業人士則希望借此來消除噪音，以便優先安排迅速處理重大問題。對于那些在滿足業務需求的同時，努力使各種孤立的安全工具形成合力的組織來說，應用安全態勢管理(ASPM)可以提供必要的增強效果。ASPM可以自動協調孤立的工具、提供上下文并確定優先級，以使組織能夠專注于對業務最重要的應用安全問題。ASPM可與開發和安全測試工具以及運維監控工具相集成，以提供整合好的單一視圖來展示組織中各方面的安全相關信息。通過關聯和分組來自分析特定應用程序和漏洞的不同工具的數據，ASPM 可以

59、提供應用程序整體安全狀況的全面視圖。DevSecOps團隊可以生成與其角色和職責相關的數據，而ASPM可以將這些數據以對業務線經理及其他需要更廣闊視角的人有意義的方式展現出來。ASPM允許您針對特定應用和漏洞可能帶來的特定風險制定并執行安全策略。當與開發或運維基礎設施集成時，ASPM還允許您盡早地發現并解決安全問題。2021年的Gartner報告指出。大約有5%的受訪組織采用了ASPM或其前身 應用安全編排與關聯(ASOC)工具。Gartner預計其采用速度將會迅速提升，這一預測在2023年的調查結果中得到了印證 28%的受訪者已經開始使用ASOC/ASPM。Gartner還指出，早期采用者往

60、往是擁有成熟的DevSecOps計劃和使用多種安全工具的團隊，這些都是我們DevSecOps調查受訪者的特征。Software Risk Manager：兌現ASPM的承諾 簡化AppSec管理 全面了解AppSec風險 快速確定重大問題的優先級 規范AppSec工作流 測試與業務需求同步希望了解ASPM的實際好處？立即聯系Synopsys，安排觀看Software Risk Manager的演示。概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查經驗教訓 受訪者特征 附錄本報告探討的調查有力地表明，安全工具提供的碎片化結果、不堪重負的

61、工作團隊和緩慢的漏洞修復速度是阻礙DevSecOps取得成功的根本挑戰。對于那些擁有多元化DevSecOps團隊并使用多種應用安全測試工具的組織來說，ASPM可能是有效應對這些挑戰的關鍵。2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 受訪者的行業分布18%6%3%6%3%15%5%3%13%4%2%7%4%2%7%4%0.5%技術銀行/金融保險教育政府應用/軟件開發醫療保健非盈利機構/協會網絡安全電信/ISP交通運輸制造零售公用事業金融科技媒體其他概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調

62、查經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 應用安全架構師 應用安全經理 CISO 開發人員 DevOps工程師 應用安全總監 網絡安全總監 IT風險管理總監 IT共享服務總監 產品安全總監 安全保障總監 產品安全執行總監 事故和安全經理 信息保障總監 軟件安全工程經理 運維工程師 AppSec產品安全人員 程序員 QA/測試人員/測試經理 發布工程師/經理 安全管理員/安全分析師 安全架構師 安全總監 安全工程經理 產品安全高級總監 產品安全和技術高級副總裁 技術主管 產品和應用安全副總裁 安全架構副總裁 安全合規副總裁 受訪者的工作角色 2023 年 DevS

63、ecOps 現狀調查 工程/科學軟件35%嵌入式軟件31%應用軟件46%系統軟件44%人工智能軟件37%該組織創建/管理的軟件/應用Web應用42%產品軟件38%受訪者的國家/數量自動部署29%持續測試28%應用安全編排與關聯28%持續集成28%自動測試28%基礎架構即代碼28%安全風險管理35%持續監控和評估30%持續部署29%該組織采用的安全實踐配置管理30%威脅數據和響應30%英國:127日本:126新加坡:125中國:135德國:126芬蘭:127法國:125美國:128組織規模（員工/臨時工人數）1%超過100,0004%50,001100,00019%1,0012,00012%2,

64、0015,0008%10,00115,00015%1005007%15,00150,00019%5011,00013%5,00110,0002%不到 100概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查經驗教訓 受訪者特征 附錄 2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄全球英國美國法國芬蘭德國中國新加坡日本技術18.45%10.24%34.38%14.40%12.60%9.52%42.96%12.0

65、0%9.52%網絡安全14.52%17.32%13.28%20.00%14.96%10.32%7.41%18.40%15.08%應用/軟件開發12.66%4.72%7.03%20.00%14.17%1.59%26.67%5.60%20.63%制造7.26%3.94%3.13%4.00%5.51%9.52%13.33%8.80%9.52%金融科技6.87%6.30%7.03%4.80%10.24%11.11%2.22%8.80%4.76%教育5.59%6.30%5.47%7.20%6.30%3.97%0.00%9.60%6.35%銀行/金融5.50%7.09%3.91%5.60%4.72%11.

66、11%0.74%4.00%7.14%電信/ISP5.10%5.51%3.13%6.40%8.66%7.14%2.22%3.20%4.76%醫療保健4.12%6.30%7.03%4.00%3.94%3.17%1.48%4.00%3.17%零售4.02%7.09%5.47%4.00%3.94%5.56%0.00%3.20%3.17%媒體3.63%3.15%2.34%0.80%3.94%5.56%0.74%4.80%7.94%政府3.14%5.51%3.13%2.40%3.15%4.76%0.74%4.00%1.59%保險2.85%5.51%3.13%1.60%3.15%4.76%0.00%3.20

67、%1.59%交通運輸2.55%3.94%0.00%3.20%1.57%6.35%0.74%3.20%1.59%非盈利機構/協會1.67%3.94%0.78%0.80%1.57%3.17%0.00%2.40%0.79%公用事業1.57%2.36%0.78%0.00%0.79%2.38%0.74%4.00%1.59%其他（請注明）0.49%0.79%0.00%0.80%0.79%0.00%0.00%0.80%0.79%Q1.貴組織主要屬于哪個行業？2023 年 DevSecOps 現狀調查 2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的

68、主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄全球英國美國法國芬蘭德國中國新加坡日本不到100，請注明1.57%1.57%0.00%2.40%0.00%0.00%3.70%1.60%3.17%10050015.11%11.02%16.41%20.80%12.60%19.05%14.81%6.40%19.84%5011,00019.04%14.96%23.44%23.20%14.96%21.43%8.89%16.00%30.16%1,0012,00018.65%15.75%17.19%15.20%19.69%15.87%37.78%16.00%10.32%2,0015,00

69、012.37%22.83%10.94%16.00%18.11%7.14%5.93%8.80%9.52%5,00110,00013.05%18.11%11.72%7.20%15.75%6.35%20.00%17.60%7.14%10,00115,0008.44%10.24%9.38%3.20%8.66%5.56%2.96%16.80%11.11%15,00150,0006.67%3.94%4.69%4.00%6.30%17.46%0.74%10.40%6.35%50,001100,0004.42%1.57%5.47%4.00%3.15%7.14%5.19%6.40%2.38%超過100,000，

70、請注明0.69%0.00%0.78%4.00%0.79%0.00%0.00%0.00%0.00%全球英國美國法國芬蘭德國中國新加坡日本應用軟件46.03%40.94%61.72%48.00%37.01%34.13%70.37%36.80%37.30%系統軟件44.06%42.52%54.69%40.00%30.71%34.92%67.41%39.20%41.27%Web應用41.71%27.56%45.31%40.80%44.09%37.30%68.89%39.20%28.57%產品軟件38.27%29.13%47.66%28.80%39.37%30.16%65.19%30.40%33.33%

71、人工智能軟件36.60%30.71%41.41%32.00%32.28%33.33%57.04%35.20%29.37%工程/科學軟件35.23%25.20%39.84%27.20%31.50%38.89%57.04%30.40%30.16%嵌入式軟件30.91%29.13%34.38%20.80%29.92%30.16%42.22%29.60%30.16%其他，請注明0.20%0.79%0.00%0.00%0.00%0.00%0.00%0.00%0.79%Q2.貴組織有多大？包括員工和臨時工？Q3.貴組織創建或管理哪些類型的軟件/應用？（選擇所有的適用項）2023 年 DevSecOps 現

72、狀調查 2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄全球英國美國法國芬蘭德國中國新加坡日本安全風險管理35.13%35.43%40.63%33.60%32.28%19.84%56.30%32.80%28.57%持續監控與評估29.93%25.20%34.38%29.60%32.28%22.22%44.44%25.60%24.60%配置管理29.64%19.69%31.25%24.80%23.62%23.02%49.63%30.40%33.33%威脅數據和響應29.

73、34%22.83%39.84%31.20%28.35%19.84%41.48%27.20%23.02%持續部署29.05%27.56%35.16%21.60%29.13%28.57%41.48%20.80%26.98%自動部署28.56%18.90%28.91%32.80%28.35%23.81%48.15%24.80%21.43%持續測試28.46%22.05%32.03%24.80%30.71%23.02%48.15%17.60%27.78%應用安全編排與關聯28.36%29.13%39.84%20.00%19.69%18.25%51.85%28.00%18.25%持續集成28.16%23

74、.62%30.47%24.80%25.98%19.84%47.41%28.00%23.81%自動測試27.87%19.69%33.59%28.00%24.41%15.08%48.15%20.00%32.54%基礎架構即代碼27.58%23.62%41.41%22.40%20.47%22.22%48.15%25.60%15.08%其他，請注明0.10%0.00%0.00%0.00%0.79%0.00%0.00%0.00%0.00%Q4.貴組織采用哪些安全實踐？（選擇所有的適用項）2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2

75、023年DevSecOps現狀調查 經驗教訓受訪者特征附錄Q5.貴組織使用的以下應用安全工具、實踐或技術是否有用？（如果有的話）在SDLC的需求挖掘階段明確安全需求全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）71.25%66.93%78.91%73.60%81.10%62.70%97.04%55.20%52.38%非常有用32.09%25.20%46.88%32.00%35.43%24.60%54.07%17.60%19.05%些許有用39.16%41.73%32.03%41.60%45.67%38.10%42.96%37.60%33.33%不太有用16.78%15.75%12.50%

76、16.80%13.39%20.63%2.96%26.40%26.98%根本沒用7.56%11.02%3.13%8.00%3.15%11.90%0.00%14.40%9.52%沒用（凈占比）24.34%26.77%15.63%24.80%16.54%32.54%2.96%40.80%36.51%N/A4.42%6.30%5.47%1.60%2.36%4.76%0.00%4.00%11.11%通過BSIMM和SAMM等模型對軟件安全性進行正式評估全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）69.38%55.91%79.69%71.20%70.87%57.94%94.81%67.20%55.

77、56%非常有用33.56%24.41%47.66%25.60%30.71%26.98%57.04%28.80%25.40%些許有用35.82%31.50%32.03%45.60%40.16%30.95%37.78%38.40%30.16%不太有用18.06%25.20%10.94%17.60%25.20%23.02%3.70%16.80%23.02%根本沒用8.44%11.81%7.03%8.80%2.36%16.67%0.74%10.40%10.32%沒用（凈占比）26.50%37.01%17.97%26.40%27.56%39.68%4.44%27.20%33.33%N/A4.12%7.0

78、9%2.34%2.40%1.57%2.38%0.74%5.60%11.11%通過自動掃描代碼來查找安全漏洞和其他缺陷，例如靜態應用安全測試(SAST)全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）71.54%62.20%76.56%76.00%78.74%65.87%94.07%54.40%62.70%非常有用34.35%29.13%46.09%33.60%38.58%27.78%54.07%21.60%22.22%些許有用37.19%33.07%30.47%42.40%40.16%38.10%40.00%32.80%40.48%不太有用17.37%22.05%10.94%16.80%1

79、8.11%17.46%5.93%29.60%19.05%根本沒用7.65%13.39%8.59%5.60%2.36%11.90%0.00%12.80%7.14%沒用（凈占比）25.02%35.43%19.53%22.40%20.47%29.37%5.93%42.40%26.19%N/A3.43%2.36%3.91%1.60%0.79%4.76%0.00%3.20%11.11%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄開源/第三方依賴性分析(SCA)全球英國美國法

80、國芬蘭德國中國新加坡日本有用（凈占比）67.62%50.39%75.00%73.60%74.80%61.11%94.81%53.60%55.56%非常有用30.32%22.05%33.59%32.00%30.71%23.81%60.74%20.00%17.46%些許有用37.29%28.35%41.41%41.60%44.09%37.30%34.07%33.60%38.10%不太有用19.73%25.98%16.41%18.40%22.05%22.22%5.19%27.20%21.43%根本沒用8.34%14.17%5.47%6.40%1.57%11.90%0.00%12.80%15.08%沒

81、用（凈占比）28.07%40.16%21.88%24.80%23.62%34.13%5.19%40.00%36.51%N/A4.32%9.45%3.13%1.60%1.57%4.76%0.00%6.40%7.94%內部或第三方滲透測試全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）67.91%53.54%71.88%72.00%80.31%56.35%96.30%54.40%56.35%非常有用30.23%18.11%37.50%35.20%43.31%23.02%48.89%17.60%16.67%些許有用37.68%35.43%34.38%36.80%37.01%33.33%47.41

82、%36.80%39.68%不太有用19.33%29.13%19.53%16.80%16.54%20.63%3.70%24.80%24.60%根本沒用8.64%10.24%7.03%7.20%3.15%17.46%0.00%15.20%9.52%沒用（凈占比）27.97%39.37%26.56%24.00%19.69%38.10%3.70%40.00%34.13%N/A4.12%7.09%1.56%4.00%0.00%5.56%0.00%5.60%9.52%模糊測試全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）62.32%50.39%75.00%58.40%68.50%53.97%88.1

83、5%55.20%46.83%非常有用25.02%19.69%35.94%17.60%23.62%27.78%42.96%18.40%12.70%些許有用37.29%30.71%39.06%40.80%44.88%26.19%45.19%36.80%34.13%不太有用19.73%18.90%12.50%22.40%18.90%23.02%10.37%25.60%26.98%根本沒用9.52%14.96%4.69%4.80%9.45%18.25%0.74%12.00%11.90%沒用（凈占比）29.24%33.86%17.19%27.20%28.35%41.27%11.11%37.60%38.8

84、9%N/A8.44%15.75%7.81%14.40%3.15%4.76%0.74%7.20%14.29%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄Q6.貴組織使用的以下應用安全工具、實踐或技術是否有用（如果有的話）？動態應用安全測試(DAST)全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）67.12%48.82%74.22%76.80%74.80%62.70%91.11%49.60%57.14%非常有用29.44%16.54%38.28%36.80%29

85、.92%27.78%46.67%20.00%18.25%些許有用37.68%32.28%35.94%40.00%44.88%34.92%44.44%29.60%38.89%不太有用19.63%32.28%16.41%16.80%17.32%20.63%7.41%28.80%18.25%根本沒用9.62%12.60%6.25%5.60%6.30%12.70%0.74%18.40%15.08%沒用（凈占比）29.24%44.88%22.66%22.40%23.62%33.33%8.15%47.20%33.33%N/A3.63%6.30%3.13%0.80%1.57%3.97%0.74%3.20%9

86、.52%交互式應用安全測試(IAST)全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）68.50%60.63%72.66%75.20%77.17%53.97%96.30%53.60%56.35%非常有用31.11%22.05%35.16%34.40%37.01%18.25%54.07%24.00%22.22%些許有用37.39%38.58%37.50%40.80%40.16%35.71%42.22%29.60%34.13%不太有用18.06%18.11%20.31%15.20%18.11%21.43%3.70%24.80%23.81%根本沒用9.62%14.17%6.25%9.60%3.1

87、5%18.25%0.00%14.40%11.90%沒用（凈占比）27.67%32.28%26.56%24.80%21.26%39.68%3.70%39.20%35.71%N/A3.83%7.09%0.78%0.00%1.57%6.35%0.00%7.20%7.94%Web應用防火墻(WAF)全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）68.99%62.99%78.13%66.40%78.74%55.56%97.78%51.20%58.73%非常有用33.17%33.86%39.84%32.00%36.22%21.43%52.59%21.60%26.19%些許有用35.82%29.13%

88、38.28%34.40%42.52%34.13%45.19%29.60%32.54%不太有用18.25%19.69%14.84%20.00%15.75%23.02%2.22%32.80%19.05%根本沒用8.73%11.02%6.25%10.40%3.94%14.29%0.00%12.80%11.90%沒用（凈占比）26.99%30.71%21.09%30.40%19.69%37.30%2.22%45.60%30.95%N/A4.02%6.30%0.78%3.20%1.57%7.14%0.00%3.20%10.32%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023

89、年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄容器安全測試全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）66.93%48.82%79.69%73.60%74.80%57.94%91.11%57.60%50.00%非常有用29.93%20.47%38.28%29.60%39.37%24.60%49.63%21.60%14.29%些許有用37.00%28.35%41.41%44.00%35.43%33.33%41.48%36.00%35.71%不太有用18.65%29.13%13.28%14.40%17.32%19.84%6.67%24.

90、00%25.40%根本沒用9.42%14.96%3.91%8.80%6.30%18.25%1.48%12.80%9.52%沒用（凈占比）28.07%44.09%17.19%23.20%23.62%38.10%8.15%36.80%34.92%N/A5.00%7.09%3.13%3.20%1.57%3.97%0.74%5.60%15.08%使用安全漏洞/風險管理工具，如XDR和SRM等全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）69.77%58.27%82.81%74.40%74.02%57.14%97.78%53.60%57.94%非常有用32.58%24.41%47.66%35.20

91、%41.73%22.22%50.37%20.00%17.46%些許有用37.19%33.86%35.16%39.20%32.28%34.92%47.41%33.60%40.48%不太有用17.86%21.26%8.59%19.20%22.05%19.05%1.48%27.20%25.40%根本沒用9.62%16.54%7.03%5.60%1.57%20.63%0.74%16.00%9.52%沒用（凈占比）27.48%37.80%15.63%24.80%23.62%39.68%2.22%43.20%34.92%N/A2.75%3.94%1.56%0.80%2.36%3.17%0.00%3.20%

92、7.14%對修復工作進行優先級排序全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）67.12%53.54%82.81%67.20%71.65%53.97%96.30%56.80%52.38%非常有用29.83%21.26%40.63%24.80%36.22%21.43%54.07%21.60%16.67%些許有用37.29%32.28%42.19%42.40%35.43%32.54%42.22%35.20%35.71%不太有用18.45%28.35%7.81%19.20%22.05%19.84%3.70%24.00%23.81%根本沒用9.91%9.45%7.03%10.40%5.51%1

93、7.46%0.00%12.00%18.25%沒用（凈占比）28.36%37.80%14.84%29.60%27.56%37.30%3.70%36.00%42.06%N/A4.51%8.66%2.34%3.20%0.79%8.73%0.00%7.20%5.56%軟件供應鏈管理/監控全球英國美國法國芬蘭德國中國新加坡日本有用（凈占比）69.28%59.84%72.66%71.20%77.95%58.73%95.56%56.00%60.32%非常有用32.29%24.41%36.72%33.60%32.28%25.40%57.04%19.20%27.78%些許有用37.00%35.43%35.94%

94、37.60%45.67%33.33%38.52%36.80%32.54%不太有用18.84%22.83%17.19%17.60%18.11%23.81%3.70%31.20%17.46%根本沒用8.34%11.81%7.81%10.40%1.57%10.32%0.74%11.20%13.49%沒用（凈占比）27.18%34.65%25.00%28.00%19.69%34.13%4.44%42.40%30.95%N/A3.53%5.51%2.34%0.80%2.36%7.14%0.00%1.60%8.73%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSec

95、Ops現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄全球英國美國法國芬蘭德國中國新加坡日本第一級：非結構化/無組織8.54%11.02%3.91%4.80%11.02%12.70%2.22%10.40%12.70%第二級：安全流程是文檔化的，并且對于特定的團隊是可重復的24.14%28.35%23.44%16.00%29.13%26.19%9.63%34.40%26.98%第三級：第二級所述流程和程序在整個組織中是標準化的。積極主動的安全文化得到了領導層的認可和宣傳34.25%33.07%38.28%40.00%35.43%36.51%21.48%33.60%

96、36.51%第四級：安全流程和控件是有記錄的、被管理和監控的24.53%22.05%20.31%28.00%14.96%21.43%48.89%20.00%19.05%第五級：安全流程是持續分析和改進的8.54%5.51%14.06%11.20%9.45%3.17%17.78%1.60%4.76%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%Q7.您認為貴組織當前的軟件安全項目/計劃的成熟度屬于哪一級Q8.貴組織平均多久對關鍵業務應用的安全性進行一次評估或測試？全球英國美國法國芬蘭德國中國新加坡日本每天7.07%3.94%8.59%19.

97、20%4.72%3.17%3.70%2.40%11.11%每周4-6天17.17%15.75%16.41%15.20%11.81%11.11%37.04%11.20%17.46%每周2-3天20.41%18.90%21.09%28.00%14.96%20.63%27.41%14.40%17.46%每周一次16.98%16.54%15.63%14.40%18.11%16.67%17.78%19.20%17.46%每2-3周一次11.09%11.02%12.50%5.60%18.11%12.70%5.19%14.40%9.52%每月一次7.16%6.30%4.69%5.60%12.60%7.94%

98、5.19%5.60%9.52%每兩個月一次7.46%7.87%7.81%3.20%11.02%3.97%2.22%18.40%5.56%每3-5個月一次6.38%7.87%10.16%5.60%3.15%7.14%1.48%7.20%8.73%每6-11個月一次4.42%7.87%2.34%1.60%4.72%10.32%0.00%6.40%2.38%每年一次1.67%2.36%0.78%1.60%0.79%6.35%0.00%0.80%0.79%每年不到一次，請提供具體數據0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%永不0.20%1.57%0.0

99、0%0.00%0.00%0.00%0.00%0.00%0.00%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄全球英國美國法國芬蘭德國中國新加坡日本手動和自動評估相結合52.61%50.40%65.63%44.80%50.39%51.59%68.89%47.20%40.48%外部滲透測試44.15%37.60%39.06%40.00%43.31%47.62%63.70%45.60%34.92%自動評估和測試43.66%40.00%46.88%39.20%42.52%

100、45.24%68.15%29.60%35.71%手動評估和/或測試（不包括滲透測試）43.07%36.00%46.88%37.60%46.46%44.44%58.52%33.60%39.68%不知道/不確定0.20%0.00%0.00%0.80%0.79%0.00%0.00%0.00%0.00%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%Q9.您如何評估或測試關鍵業務應用的安全性？（選擇所有的適用項）Q10.在過去一年（2022-2023年），解決一個重大安全/漏洞問題對貴組織的軟件交付計劃產生了多大的影響（如果有的話）？全球英國美國法

101、國芬蘭德國中國新加坡日本有影響(凈占比)81.06%72.44%86.72%80.00%92.91%89.68%79.26%80.80%66.67%很大的影響38.37%24.41%41.41%33.60%33.86%54.76%60.74%24.80%31.75%些許影響42.69%48.03%45.31%46.40%59.06%34.92%18.52%56.00%34.92%沒什么影響17.17%25.20%12.50%17.60%7.09%7.94%20.00%18.40%28.57%根本沒影響1.77%2.36%0.78%2.40%0.00%2.38%0.74%0.80%4.76%沒影

102、響(凈占比)18.94%27.56%13.28%20.00%7.09%10.32%20.74%19.20%33.33%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄全球英國美國法國芬蘭德國中國新加坡日本內部安全團隊46.03%39.37%50.00%36.80%41.73%38.89%67.41%46.40%46.03%開發人員/軟件工程師45.14%34.65%53.13%33.60%44.88%42.86%63.70%44.00%42.86%QA/測試團隊37.

103、59%41.73%35.94%32.80%33.86%38.89%51.11%34.40%30.95%跨職能的DevSecOps團隊35.53%31.50%44.53%28.80%39.37%30.95%48.15%32.00%27.78%外部顧問32.88%29.92%46.09%28.00%28.35%38.10%32.59%31.20%28.57%不確定0.10%0.00%0.00%0.00%0.00%0.79%0.00%0.00%0.00%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%Q11.貴組織由誰負責安全測試？（選擇所有的適

104、用項）Q12.貴組織平均需要多長時間才能修補/處理已部署的或正在使用的應用程序中的重大安全風險/漏洞全球英國美國法國芬蘭德國中國新加坡日本不到一周，請提供具體天數4.61%0.00%7.81%11.20%5.51%0.00%6.67%3.20%2.38%1-2周26.40%14.96%21.88%40.80%25.98%14.29%57.04%10.40%23.81%2-3周28.26%33.86%28.91%24.80%26.77%23.02%29.63%28.00%30.95%3周-1個月19.92%22.83%19.53%16.00%21.26%32.54%4.44%26.40%17.4

105、6%1-2個月8.44%9.45%5.47%3.20%11.81%11.90%1.48%14.40%10.32%2-4個月5.50%3.94%5.47%3.20%4.72%11.11%0.74%8.80%6.35%4-6個月4.71%9.45%10.16%0.80%1.57%4.76%0.00%8.00%3.17%6個月以上，請提供具體月數0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%不確定2.16%5.51%0.78%0.00%2.36%2.38%0.00%0.80%5.56%2023 年 DevSecOps 現狀調查 概述 Synopsys 20

106、23年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄Q13.您用來評估DevSecOps活動成功與否的主要KPI是什么？（最多可選3項）Q14.貴組織中實施DevSecOps的挑戰/障礙是什么？（選擇所有的適用項）全球英國美國法國芬蘭德國中國新加坡日本公開安全漏洞的數量28.95%27.56%32.81%28.80%27.56%24.60%40.00%26.40%23.02%開發流程后期發現的安全相關問題的減少28.26%33.07%33.59%24.00%24.41%29.37%30.37%30.40%20.63%問題解決時間27.58%2

107、4.41%30.47%28.00%24.41%23.02%31.11%25.60%33.33%解決安全相關問題所花費時間的減少27.38%27.56%30.47%24.00%21.26%34.13%32.59%24.80%23.81%因安全問題造成的構建延遲的減少26.50%25.98%28.91%28.80%26.77%19.84%27.41%26.40%27.78%因安全問題造成的構建失敗的減少24.44%22.05%24.22%21.60%25.20%27.78%25.93%25.60%23.02%合規KPI（通過審核的百分比等）23.75%30.71%28.91%17.60%22.83

108、%26.98%24.44%23.20%15.08%客戶提交的服務單數量22.77%29.13%28.91%25.60%21.26%22.22%15.56%25.60%14.29%缺陷逃逸率22.28%22.83%17.19%16.00%30.71%23.81%28.15%17.60%21.43%我們沒有用來評估DevSecOps活動成功與否的主要KPI1.08%0.00%0.00%0.00%1.57%0.00%0.00%0.80%6.35%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%全球英國美國法國芬蘭德國中國新加坡日本開發人員/工程師

109、的安全培訓不足/無效33.86%33.07%42.97%27.20%31.50%35.71%32.59%35.20%32.54%應用安全人員/技能短缺31.40%25.98%29.69%28.80%23.62%31.75%46.67%32.80%30.95%開發/運維工作缺乏透明性31.31%27.56%37.50%28.80%35.43%29.37%36.30%28.00%26.98%不斷變化的需求和優先級30.42%25.20%30.47%27.20%29.13%27.78%43.70%32.80%26.19%安全計劃和工具的預算/資金不足29.44%30.71%39.06%32.80%3

110、7.01%23.02%22.96%21.60%28.57%開發、運維和安全團隊之間的組織孤島29.05%31.50%42.19%24.80%28.35%29.37%29.63%22.40%23.81%安全團隊缺乏編碼技能28.95%24.41%30.47%26.40%31.50%30.95%28.89%29.60%29.37%沒有遇到挑戰障礙2.06%4.72%3.13%1.60%2.36%0.79%1.48%0.00%2.38%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%2023 年 DevSecOps 現狀調查 概述 Synopsy

111、s 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄Q15.貴組織使用的應用安全測試工具的主要問題是什么？（最多可選3項）Q16.您認為哪些因素對安全計劃取得成功最重要？（最多可選3項）全球英國美國法國芬蘭德國中國新加坡日本工具無法根據安全漏洞的暴露程度、可利用性和嚴重程度對修復工作進行優先級排序34.74%35.43%41.41%40.00%37.01%34.13%35.56%22.40%31.75%工具因速度太慢而無法適應快速發布周期/持續部署34.15%26.77%42.97%33.60%28.35%30.16%47.41%40

112、.00%23.02%性價比低33.46%29.92%34.38%32.00%38.58%34.92%33.33%30.40%34.13%不準確/不可靠33.07%25.20%39.84%28.80%36.22%33.33%31.85%32.00%37.30%誤報率高32.19%38.58%39.06%21.60%31.50%35.71%29.63%36.00%25.40%無法整合/關聯來自不同工具的結果28.95%23.62%28.91%22.40%26.77%30.95%34.07%28.00%36.51%沒有嚴重問題3.14%6.30%3.13%4.00%2.36%0.00%5.19%0.

113、00%3.97%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%全球英國美國法國芬蘭德國中國新加坡日本通過基礎架構即代碼來執行安全/合規策略33.56%36.22%37.50%39.20%26.77%26.98%40.74%29.60%30.95%在開發和運維團隊中培養安全支持者32.58%22.05%39.06%32.80%28.35%38.89%28.15%40.00%31.75%改善開發、運維和安全團隊之間的溝通32.48%34.65%42.97%27.20%31.50%34.13%32.59%34.40%22.22%將自動安全測試集

114、成到構建/部署工作流中32.29%28.35%36.72%32.00%36.22%33.33%32.59%28.00%30.95%通過自動化來最大限度地降低漏洞修復時間/成本30.03%32.28%31.25%31.20%23.62%27.78%40.74%27.20%25.40%創建跨職能領域的DevSecOps團隊28.95%29.92%32.03%21.60%37.01%28.57%35.56%26.40%19.84%對開發人員/工程師進行安全編碼培訓27.58%25.20%28.91%20.80%35.43%26.98%33.33%21.60%27.78%我不認為有什么重要成功因素0.

115、79%2.36%0.00%0.80%0.00%0.79%0.74%0.00%1.59%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄Q17.貴組織目前是否正在使用AI工具來加強軟件安全措施？Q18.您預計使用AI工具將對貴組織的DevSecOps過程和工作流有何影響？（選擇所有的適用項）Q19.您認為AI工具可以有效加強哪些特定領域的軟件安全？全球英國美國法國芬蘭德

116、國中國新加坡日本是，我們正在積極使用AI工具52.50%38.58%64.06%47.20%47.24%69.84%57.04%47.20%48.41%否，我們對AI工具的使用持開放態度，但尚未實施36.51%39.37%23.44%42.40%47.24%22.22%40.00%35.20%42.06%否，我們還沒有實施AI工具，也沒有這樣的計劃10.99%22.05%12.50%10.40%5.51%7.94%2.96%17.60%9.52%否(凈占比)47.50%61.42%35.94%52.80%52.76%30.16%42.96%52.80%51.59%全球英國美國法國芬蘭德國中國新

117、加坡日本提高安全措施的效率和準確性53.69%51.52%58.93%49.11%44.17%43.97%68.70%57.28%54.39%增加軟件安全的復雜性和技術需求52.04%51.52%64.29%42.86%50.83%54.31%61.83%47.57%41.23%降低安全數據的人工審查和分析需求48.40%50.51%45.54%42.86%50.83%45.69%64.12%42.72%42.11%沒有重大影響0.88%0.00%0.00%0.89%0.83%2.59%0.00%0.00%2.63%其他，請注明0.00%0.00%0.00%0.00%0.00%0.00%0.0

118、0%0.00%0.00%全球英國美國法國芬蘭德國中國新加坡日本威脅檢測與防御45.09%42.42%50.00%46.43%46.67%41.38%44.27%46.60%42.98%漏洞掃描和測試44.21%39.39%46.43%45.54%46.67%37.07%52.67%42.72%41.23%身份和訪問管理42.01%43.43%50.00%44.64%38.33%37.93%54.20%33.98%31.58%合規和監管管理41.57%47.47%46.43%31.25%42.50%36.21%45.04%37.86%45.61%其他，請注明0.00%0.00%0.00%0.00

119、%0.00%0.00%0.00%0.00%0.00%2023 年 DevSecOps 現狀調查 概述 Synopsys 2023年DevSecOps現狀調查 的主要發現2023年DevSecOps現狀調查 經驗教訓受訪者特征附錄Q20.您對基于AI的安全解決方案中隱藏的偏差或錯誤有多擔心（如果有的話）？全球英國美國法國芬蘭德國中國新加坡日本擔心（凈占比）76.63%76.77%83.93%74.11%77.50%84.48%55.73%82.52%81.58%非常擔心25.36%27.27%33.04%16.96%15.83%50.00%7.63%28.16%27.19%有些擔心51.27%4

120、9.49%50.89%57.14%61.67%34.48%48.09%54.37%54.39%中立/沒感覺16.21%15.15%10.71%22.32%18.33%8.62%28.24%12.62%11.40%不太擔心5.95%6.06%4.46%2.68%3.33%6.03%13.74%3.88%6.14%一點都不擔心1.21%2.02%0.89%0.89%0.83%0.86%2.29%0.97%0.88%不擔心（凈占比）7.17%8.08%5.36%3.57%4.17%6.90%16.03%4.85%7.02%Synopsys與眾不同Synopsys提供的集成解決方案，可以改變您構建和交

121、付軟件的方式，在應對業務風險的同時加速創新。與Synopsys同行，您的開發人員可以在編寫代碼的時候快速兼顧安全。您的開發和DevSecOps團隊可以在不影響速度的情況下在開發管道中自動進行安全測試。您的安全團隊可以主動管理風險并將補救工作聚焦在對貴組織最重要的事情上。我們無與倫比的專業知識可以幫助您規劃和執行所需安全計劃。只有Synopsys能夠滿足您構建可信軟件的一切需求。有關Synopsys軟件完整性小組的更多信息，請訪問： Synopsys,Inc.版權所有，保留所有權利。Synopsys是Synopsys,Inc.在美國和其他國家/地區的商標。Synopsys商標列表可在 獲得。本文提及的所有其他名稱均為其各自所有者的商標或注冊商標。2023年9月。