77%應用程式存在漏洞 安全成軟件開發的大挑戰

77%應用程式存在漏洞 安全成軟件開發的大挑戰

隨着軟件的開發越來越複雜，當中產生的漏洞也因而提高。CA Technologies (NASDAQ:CA)公佈了對全球1,200多名 IT 領導者進行的有關安全軟件開發的調查結果。新報告名為《將安全視為軟件生命週期不可分割的一部分》（Integrating Security into the DNA of You Software Lifecycle），由IT行業分析公司Freeform Dynamics負責進行，突出了公司文化對將安全實踐整合到其軟件開發計劃中的能力的影響，這實踐和做法俗稱為DevSecOps。

軟件推動著當前數碼經濟的發展。當從一開始就將安全集成到軟件開發中時，數據洩露的風險將大大降低，在與我們的線上世界中無處不在的應用程式和服務交互時，為用戶提供更高的信心和信任。

根據調查受訪者表示，大多數香港企業認為軟件開發促進企業增長及擴張（94%），幫助企業保持競爭力（91%），以及推動數碼轉型（81%）。然而，調查結果亦顯示，隨著軟件對企業在數碼經濟中獲得成功越來越重要，安全問題受到極大的關注。事實上，70%的香港受訪者同意軟件及代碼問題引發的安全威脅日益讓人擔憂。CA Veracode發佈的2017年軟件安全狀況報告（State of Software Security Report 2017）發現，在以前未經測試的軟件中，漏洞繼續以驚人的速度出現，77%的應用程式在最初掃描時至少發現一個漏洞。

調查結果顯示，創建安全軟件開發文化是一個重大挑戰。多達91%及90%的香港受訪企業認為現有文化和缺乏技能是企業在軟件開發過程中嵌入安全測試和評估的障礙，僅有19%的受訪者強烈同意企業文化及實踐為開發、營運及安全之間的協作提供支持。除文化上的限制外，只有一成的受訪者強烈同意高級管理層理解為了縮短產品上市時間，注意安全性的重要性。

CA Technologies東南亞及大中華區副總裁林潔聰表示：「在任何現代軟件工廠，安全性都是一個關鍵原則。儘管我們的調查結果顯示企業都非常認同確保安全建構、維護數據和系統的重要性，但企業內部仍缺乏文化觀念以意識這個問題的緊迫性。智能IT（運用人工智能、機器學習及分析以做出更明智的知情決策）加上安全性，才能明顯改變商業模式。」

該報告展現出「軟件安全大師」（Software Security Masters）（排名前32％的亞太及日本區企業以及17%的香港受訪者）的特徵，這些企業能夠將安全完全整合到軟件開發生命週期中，當中包括對應用程式進行早期及持續的測試以發現安全漏洞，以及採用DevSecOps的做法。

事實上，與主流企業相比，來自軟件安全大師的受訪者有接近3倍以上的可能性強烈認同他們認為安全是新的商業機會的推動者。亞太及日本的軟件安全大師受訪者還展示了以下特徵︰

● 盈利增長高出50%
● 收入增長高出50%
● 更有可能進行安全測試以與頻繁的應用程式更新保持一致的比例高出2.8倍
● 更有可能超過競爭對手的比例高出3.2倍

林潔聰總結︰「被稱為軟件安全大師的企業看到把安全性融入到軟件開發過程中，跟獲取豐富收入和盈利之間有著牢固的關係。他們不僅體現和代表了在當今日新月異的市場中適應和發展所必需的文化觀念，還影響著行業內變革，同時塑造了未來的工作場所。」