2021年开发安全需求将爆炸式飙升

与此同时，行业用户缓解关键漏洞的平均时间偏长。报告发现，所有行业的平均漏洞缓解时间为189天。不过令人欣慰的是，过去12个月的平均天数呈下降趋势(同比减少了5天)。漏洞缓解表现最糟糕的三个行业——教育、公共管理和房地产，缓解关键漏洞平均用时都超过了一年之久。

应用程序开发安全已经成为网络安全未来发展的关键所在。一项最新的行业研究表明，开发安全已经成为增长最快的网络安全技能。预计未来五年开发安全技能的需求将增长164%。五年内，开发安全人才的职位缺口将从2020年的29635人扩大到48601人。

上述调查发现提出了重要的问题：什么是应用程序开发安全性?是什么在推动“安全左移”和开发安全需求的快速增长?

首先，开发安全是通过查找和修复漏洞来增强应用程序的防御能力。顾名思义，此过程通常发生在应用程序投入生产环境之前的开发阶段。但也可能在所有者部署了这些应用程序之后发生。

测试应用程序开发安全性的方法有很多，统称为应用程序安全性测试(AST)，主要有以下三大类：

静态应用程序安全性测试(SAST)：在这种类型的Web应用程序安全性测试中，安全专家对应用程序的体系结构有一些了解。他们可以利用这些知识来报告源代码中的弱点。

动态应用程序安全测试(DAST)：与SAST相反，DAST假定测试人员不了解应用程序的代码。其目的是在特定应用程序的运行状态中查找潜在的缺陷。

交互式应用程序安全性测试(IAST)：此方法将SAST和DAST结合在一起，成为一种混合方法。

根据Verocode发布的《2020年软件安全现状报告》，结合使用多种扫描类型(包括静态分析(SAST)、动态分析(DAST)和软件组成分析(SCA))的团队可以提高修复率。那些同时使用SAST和DAST的人可以把漏洞修复工作缩短24天。而在SDLC中进行自动化安全测试比非自动化测试发现半数漏洞的速度要快17.5天。

总之，用于软件安全测试的(自动化)工具需要与研发团队现有的研发流程和安全实践匹配融合，并具备与研发管理平台融合的能力。

（编辑：ASP站长网）