Нове опитування 621 спеціаліста з ІТ та безпеки, опубліковане цього тижня, показало, що лише 20% із них впевнені у своїй здатності виявити вразливість до випуску програми. Про це повідомляє DevOps.com.
Опитування, проведене Ponemon Institute від імені Security Journey (постачальника навчальних послуг із кібербезпеки для розробників), виявило, що 61% опитаних намагаються ефективно усунути вразливості, а 55% звинувачують у затримках неузгодженість між командами розробки, безпеки та відповідності.
Третина респондентів (33%) сказали, що командам не вистачає спільного погляду на застосунки й активи. Водночас 38% визнали, що їм бракує здатності притягувати відділи до відповідальності за виправлення застосунків.
Згідно з отриманими результатами, лише 11% ІТ-організацій вважають, що виправляють вразливості вчасно та ефективно.
54% респондентів вказали, що протягом останнього року зазнали інциденту безпеки через невиправлену вразливість, а 51% із них зазнали більше восьми інцидентів.
Загалом половина опитаних (50%) визнала, що вони не перевіряють безпеку своїх програм після їх випуску. Лише 36% спеціально вчать розробників писати безпечний код, а одна п’ята частина опитаних (21%) навчилися виправляти вразливості. Водночас менш ніж половина з них (43%) інвестували у навчання, надане третьою стороною.
68% респондентів вказали, що під час навчання миттєвий зворотний зв’язок не надається, а 47% зауважили, що навчання безпечному кодуванню налаштовано відповідно до потреб розробників. Також половина (50%) тих, хто проходив навчання, не має алгоритму оцінювання отриманих знань.
Емі Бейкер, директорка з маркетингу Security Journey, зазначила: опитування показує, що ще багато роботи потрібно зробити, щоб навчити розробників писати безпечний код.
Крім того, занадто багато розробників програмного забезпечення надто оптимістичні щодо своєї здатності усунути вразливості при наступному оновленні програми.
ІТ-організації надто зосереджені на швидкості створення та розгортання застосунків і при цьому нехтують кібербезпекою, зазначила Бейкер. Це становить проблему, оскільки кіберзлочинці стали набагато вправнішими в моніторингу розгортання та оновлень програм, додала вона.
Час від моменту розгортання коду до моменту, коли кіберзлочинці починають його сканувати на наявність вразливостей, тепер вимірюється годинами, а не днями. На жаль, розробники розгортають більш небезпечний за своєю конструкцією код, аніж будь-коли.
Загалом майже половина респондентів (48%) навчають розробників лише раз на рік, раз на два роки або коли трапляється інцидент із безпекою. Понад дві третини (68%) навчають розробників лише тому, як застосовувати безпечні методи кодування з вимогами відповідності.
Попереду ще багато роботи із впровадження найкращих практик DevSecOps для покращення безпеки програм. Тим часом кількість небезпечного коду вже досягла таких обсягів, що більшість команд розробників ніколи не зможуть виправити вразливості.
Раніше ProIT повідомляв, що опитування Broadcom показує повільний, але стабільний прогрес VSM.
Також ми розповідали, яким був 2023 рік для DevOps: огляд стану ринку.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!