一项由流式软件公司JFrog赞助的IDC最新调查揭示了企业在DevSecOps方面面临的隐性成本问题。该调查显示,企业在每位开发人员身上每年平均花费约2.8万美元,用于处理软件安全相关的任务,如手动应用程序扫描审查、上下文切换和机密信息检测等。
调查指出,50%的高级开发人员、团队领导、产品负责人和开发经理反映,他们在软件安全任务上的时间投入显著增加,这严重影响了他们的创新能力以及新业务应用程序的构建和交付效率。
JFrog Security首席技术官Asaf Karas表示:“企业在确保软件供应链安全方面本就面临挑战,若还需使用多种工具,情况将更为复杂。这迫使开发人员频繁地在多个线上工作环境之间切换,从而降低工作效率,增加时间成本,同时也带来了更高的风险。IDC的调查为企业投资于更精简的安全流程、工具和培训提供了有力的依据,这些投资将有助于开发人员更高效、更有力地保护软件供应链。”
调查报告显示,半数受访对象每周约有19%的时间用于处理安全相关任务,且这些任务往往在正常工作时间之外进行,导致他们对软件安全采取被动措施而非主动预防。
调查的其他主要发现包括:开发人员平均花费3.5小时手动审查安全扫描结果以排除误报;69%的开发人员认为,他们的安全相关职责要求他们在各种工具之间频繁切换上下文,降低了工作效率;开发人员将50%的时间用于解析密钥扫描结果、修改代码以及更新密钥管理措施;超过54%的开发人员表示他们每周或每月运行一次基础设施即代码(IaC)扫描;尽管静态应用安全测试(SAST)工具已被集成到本地开发环境中,但只有23%的开发人员在将代码部署到生产环境之前运行SAST扫描。
IDC DevSecOps和软件供应链安全研究经理Katie Norton表示:“DevSecOps不仅是企业的当务之急,也是构建未来安全应用程序的基石。然而,如何克服效率低下、应用不当的工具带来的挑战,避免它们耗费开发人员的时间并增加成本,是行业面临的一大难题。要想取得成功,IT和软件开发团队的领导者必须将重复耗时的任务自动化,确保DevSecOps工具能以极低的误报率实现精准交付,并为开发人员提供持续的应用安全教育和资源。”
此次IDC信息简报的调查对象包括来自美国、英国、法国和德国的20多家员工规模在千人以上的公司的高级开发人员、团队管理者、产品负责人和开发经理。
关于JFrog,这是一家致力于创造一个从开发人员到设备之间畅通无阻的软件交付世界的公司。秉承“流式软件”的理念,JFrog软件供应链平台是一个统一的记录系统,帮助企业快速安全地构建、管理和分发软件,确保软件的可用性、可追溯性和防篡改性。其集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog的混合、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务,全球数百万用户和7200多名客户,包括大多数财富100强企业,都依靠JFrog解决方案安全地开展数字化转型。
