调查结果概述
1. AI开发与代码保护:超90%受访者使用AI辅助开发,但仅24%对测试AI生成代码策略自信,85%已采取措施应对挑战,如IP所有权和安全漏洞问题。
2. 软件安全测试受关注:安全测试覆盖率有提升空间,部分组织根据信息敏感性、最佳实践和自动化程度优先排序,配置集中化程度提高,但仍有大量手动流程。
3. 面临挑战:超半数受访者认为安全测试结果较易理解,但60%表示结果中噪音超20%影响效率,61%认为安全测试减缓开发速度,82%的组织使用6 - 20种安全测试工具。
未来展望
安全测试和修复流程自动化程度将提高,需制定AI辅助开发策略,减少测试结果噪音,加强跨职能协作,组织应保持敏捷适应变化。
调查详解
1. 安全测试优先事项:保护敏感信息是关键任务(37%受访者重视),部分组织遵循第三方最佳实践(36%),同时注重测试自动化和易配置性(35%)。
2. 集中化趋势:工具配置集中化渐成趋势,可提高效率、一致性,增强威胁检测和响应能力,但实现安全测试全覆盖仍有挑战,约35%组织严重依赖手动干预项目添加到测试队列。
3. 团队决策:安全、开发/工程、DevOps、QA等多团队共同负责安全测试决策,反映安全责任整合趋势,但仍有覆盖缺口,部分受访者手动添加项目,覆盖率却高于平均水平。
AI革命影响
1. AI采用情况:各行业AI采用率高,组织规模越大越可能大量采用。超90%组织使用AI工具,27%允许所有开发人员使用,43%部分使用,21%虽禁止但仍有开发人员使用。
2. 代码保护信心:多数受访者对保护AI生成代码缺乏信心,67%表示担忧,使用公共开源代码训练的AI工具可能引入IP等问题。
测试结果处理
1. 角色差异:CISO、CTO/CPO和AppSec专业人士较易理解并处理安全测试结果,开发/工程人员相对困难,可能因经验或工具差异。
2. 地区差异:各国对测试结果理解和处理能力不同,如中国88%受访者认为容易,美国和日本比例较低,反映工具采用、安全文化和监管环境差异。
3. 处理方法:组织多采用手动或自动与手动结合的方式分析清理结果(共66%),自动化方法有助于理解和采取行动,但如何平衡自动化与人类专业知识是难题。
持续挑战
1. 速度与安全矛盾:86%受访者认为安全测试减缓开发速度,43%认为中度减缓,角色间存在差异,AppSec和开发/工程团队感受更明显,自动安全测试可缓解但仍需改进。
2. 修复工作:近半组织自动确定安全问题优先级,多数组织采用多种自动化操作解决问题,但仍有超38%未实施部分操作,通知开发人员修复问题的方法也以自动化为主,但部分组织仍使用手动分配。
免责声明:我们尊重知识产权、数据隐私,只做内容的收集、整理及分享,报告内容来源于网络,报告版权归原撰写发布机构所有,通过公开合法渠道获得,如涉及侵权,请及时联系我们删除,如对报告内容存疑,请与撰写、发布机构联系返回搜狐,查看更多