https://www.darkreading.com/application-security/vulnerability-scanning-triples-leading-to-two-third-fewer-flaws
スキャンの頻度を増やし、テストと展開を自動化し、開発者を教育することに重点を置くことで、DevSecOpsとして知られる文化的変化のすべての特徴が、脆弱なライブラリの数を3分の2削減し、欠陥を修正するのに必要な時間、と同社は述べています。
このレポートは、Veracodeが会社のデータベース内のすべてのアプリケーションを調べ、長年にわたる傾向を分析した結果です。
「パイプラインへのセキュリティスキャンを含む継続的テストと統合が標準になりつつあり、ユーザーがアプリケーションをスキャンする頻度に反映されていることがわかります」とレポートは述べています。
「しかし、それらは小さくなっていることがわかります。これらの単一言語アプリケーションは、開発者がマイクロサービスアーキテクチャを採用していることを示しています。」
ソフトウェア構成分析によって発見された脆弱性は、修正に最も時間がかかりました。
たとえば、Javaアプリケーションのコードの97%以上は、オープンソースライブラリからのものです。
脆弱性スキャントリプル、3分の2の欠陥につながる、Robert Lemos、寄稿者
security summary
コメント