报告声称开发人员在AppSec中的作用日益增强

WhiteSource的一份新报告研究了开发人员在应用程序安全方面的作用。开发人员使用哪些免费工具，最适合这项工作？团队的哪一部分应该处理AppSec？将您的公司与结果进行比较，并查看研究揭示的见解。

安全问题仍然是开发人员的首要考虑。WhiteSource的最新报告研究了应用程序安全性背后的复杂性以及开发人员如何处理AppSec。

随着DevOps变得越来越成熟，出现了新的安全问题。我们如何改善AppSec？去年，当我们在DevOpsCon与Tim Mackey交谈时，他讨论了开发人员在应用程序安全方面面临的一些挑战。Mackey预测，随着时间的流逝，安全性披露的速度将会增加，并且Web服务API会引入新的风险状况。（他提供的最大建议？当发现安全问题时，请进行报告。）

开发人员使用哪些工具，最适合该工作的工具？团队的哪一部分应处理应用程序安全性？让我们看看WhiteSource报告，看看它提供了哪些好处。

开发人员的安全

应用程序安全性是谁的工作？分歧的共识揭示了DevOps，安全团队，开发人员和软件开发团队负责人之间的重叠答案。随着DevOps的到来，许多团队都向左移动，从而使开发人员可以更好地控制应用程序安全性的处理方式。

大多数开发人员回答说，他们在开发软件时会考虑安全性。只有3％的受访者表示，他们不关心安全性，因为这会使他们的流程变慢。58％的开发人员回答说，安全性是他们在软件开发过程中的第一要务。

一旦发现安全问题，谁来补救？开发人员经常这样做。该研究称：“开发人员对他们在应用程序安全性方面扮演更实质性的领导角色的期望越来越高，但缺乏这样做的必要工具。”

一些开发人员花费大量时间进行补救。33％的受访者每月花费12到36个小时进行补救。

公司还重视对开发人员的安全培训，并进行投资以确保开发人员处于其安全游戏的顶端。36％的受访者表示，他们的公司提供了安全培训，以帮助他们更好地编码。

AppSec工具和开源

工具如何集成到工作流程中？

据报道，有68％的开发人员至少使用以下技术之一：SAST，DAST，SCA，IAST和RASP。

根据该报告，现在有34％的开发人员实现了自动软件组成分析（SCA）工具，以检测具有已知漏洞的开源组件。28％的团队每年使用扫描扫描仪进行一次或两次软件审查。

开发人员使用最多的免费安全工具：

• GitHub安全警报： 36％

• OWASP依赖性检查： 27％

• 白源螺栓： 23％

• 斯尼克： 17％

• 护盾： 7％

开发人员如何找到最佳的开源工具并将最佳的工具与其他工具分开？北美受访者检查的主要参数与开源安全工具有关：

• 已知漏洞： 50％

• 开源许可证： 41％

• 同事和网站的反馈： 40％

• 版本更新： 39％

• 活跃社区： 32％