Trong bối cảnh phát triển phần mềm đang trải qua nhiều thay đổi mạnh mẽ, các tổ chức trên toàn cầu đang tìm kiếm những quy trình bảo mật hiệu quả và phù hợp với tốc độ của mã hóa hỗ trợ AI. Báo cáo “Global State of DevSecOps 2024” từ Black Duck cung cấp một cái nhìn toàn diện về các xu hướng, thách thức, và cơ hội trong bảo mật phần mềm, giúp các tổ chức cải thiện quy trình bảo mật trong phát triển phần mềm. Dưới đây là những điểm nổi bật trong báo cáo:
Ưu Tiên Trong DevSecOps: Khi được hỏi về ưu tiên hàng đầu trong kiểm thử bảo mật, ba yếu tố chính được xác định là quan trọng nhất:
- Độ nhạy cảm của thông tin được xử lý (37% người tham gia khảo sát)
- Thực tiễn tốt nhất của ngành (36% người tham gia khảo sát)
- Giảm thiểu sự phức tạp của cấu hình kiểm thử thông qua tự động hóa (35% người tham gia khảo sát)
Bảo vệ các thông tin nhạy cảm: Yếu tố quan trọng hàng đầu, được 37% người tham gia khảo sát đề cập, là bảo vệ thông tin nhạy cảm khi truy cập hoặc truyền tải. Điều này phản ánh sự hiểu biết sâu sắc về tác động của các vi phạm có thể có trong hệ sinh thái ứng dụng. Các ngành như Phần mềm Ứng dụng (43%), Ngân hàng/Tài chính (46%), Y tế (32%), và Chính phủ (38%) đặc biệt chú trọng đến ưu tiên này do tính nhạy cảm cao của dữ liệu mà họ xử lý.
Thực Tiễn Tốt Nhất Về AppSec: 36% tổ chức dựa vào thực tiễn tốt nhất được đề xuất bởi các tổ chức bên thứ ba như OWASP. Việc tuân thủ các hướng dẫn này đảm bảo một mức độ bảo mật cơ bản trong môi trường phát triển đa dạng, nhưng cũng đặt ra câu hỏi về khả năng thích ứng của các tiêu chuẩn này trước các mối đe dọa phát triển nhanh chóng, như các thách thức bảo mật độc đáo do mã tạo bởi AI gây ra.
Đơn Giản Hóa Kiểm Thử AppSec Qua Tích Hợp: 35% người tham gia khảo sát ưu tiên tự động hóa và giảm thiểu sự phức tạp của cấu hình kiểm thử, điều này nhấn mạnh việc tích hợp bảo mật ngày càng tăng trong quy trình DevOps. Việc tập trung vào tự động hóa và hợp nhất các công cụ bảo mật giúp nâng cao khả năng bảo vệ tài sản số, đơn giản hóa quản lý, và cải thiện sự phối hợp trong tổ chức.
Thách Thức Với Công Cụ Kiểm Thử Bảo Mật: 82% tổ chức sử dụng từ 6 đến 20 công cụ kiểm thử bảo mật. Dù điều này có thể cung cấp sự bao phủ toàn diện, nhưng việc sử dụng nhiều công cụ cũng tạo ra sự phức tạp lớn trong việc tích hợp, diễn giải kết quả, và quản lý tổng thể. 60% người tham gia báo cáo rằng từ 21% đến 60% kết quả kiểm thử bảo mật là “noise” – bao gồm các cảnh báo sai, trùng lặp, hoặc xung đột, dẫn đến tình trạng mệt mỏi với cảnh báo và phân bổ nguồn lực không hiệu quả.
AI Trong Phát Triển Phần Mềm: Hơn 90% tổ chức báo cáo rằng họ đang sử dụng các công cụ AI trong quá trình phát triển phần mềm. Mặc dù 85% tin rằng họ có các biện pháp để giải quyết các thách thức liên quan đến AI, nhưng chỉ 24% thực sự tự tin vào khả năng kiểm thử mã do AI tạo ra. Điều này cho thấy nhiều tổ chức vẫn đang gặp khó khăn trong việc theo kịp tốc độ áp dụng AI và cần có các chính sách cũng như công cụ phù hợp để quản lý các thách thức này.
Cân Bằng Giữa Bảo Mật Và Tốc Độ Phát Triển: 86% người tham gia khảo sát cho rằng kiểm thử bảo mật có thể làm chậm tiến độ phát triển phần mềm. Trong số đó, 43% đánh giá mức độ ảnh hưởng này là “vừa phải”. Đây là một trong những thách thức lớn khi tích hợp bảo mật vào quy trình DevOps, mà không làm ảnh hưởng đến sự linh hoạt và tốc độ phát triển. Những tổ chức quản lý quy trình kiểm thử hoàn toàn thủ công có xu hướng gặp nhiều khó khăn hơn so với những tổ chức đã tự động hóa quy trình này.
Báo cáo cũng cung cấp các giải pháp và hướng dẫn thực tiễn để giải quyết những thách thức này, giúp các tổ chức triển khai DevSecOps một cách hiệu quả hơn, từ đó cải thiện khả năng bảo mật mà không ảnh hưởng đến hiệu suất phát triển phần mềm.
Xây Dựng Niềm Tin Trong Bảo Mật Phần Mềm Với ASIC Cybersecurity
Là nhà cung cấp chính thức của Black Duck tại Việt Nam, ASIC Cybersecurity cam kết mang đến những giải pháp bảo mật tiên tiến, hỗ trợ các tổ chức và doanh nghiệp triển khai các quy trình DevSecOps hiệu quả và an toàn. Báo cáo “Global State of DevSecOps 2024” là nguồn tài liệu hữu ích giúp hiểu rõ hơn về tình trạng hiện tại của bảo mật phần mềm và cách để ứng phó với những thách thức trong thời đại AI.
Liên hệ với ASIC Cybersecurity để nhận bản báo cáo chi tiết và được tư vấn về cách bảo mật quy trình phát triển phần mềm của doanh nghiệp và tổ chức