数据观澜物联网
快捷导航
您的位置:首页>电脑教程>>忽视应用安全的隐性代价 >

忽视应用安全的隐性代价

  发布时间:2025-12-07 20:07:29   作者:玩站小弟   我要评论
应用安全已不再只是一个技术问题,而是一个战略性问题,然而,从《2025年应用安全状况报告》来看,许多企业仍未做出相应调整,大多数团队不堪重负、资金不足,且常常在风险不明的情况下进行高风险的权衡取舍。调 。

应用安全已不再只是忽视一个技术问题 ,而是应用一个战略性问题,然而 ,安全从《2025年应用安全状况报告》来看,性代许多企业仍未做出相应调整 ,忽视大多数团队不堪重负 、应用资金不足,安全且常常在风险不明的性代情况下进行高风险的权衡取舍。

调查显示 ,忽视62%的应用企业明知代码存在安全漏洞 ,仍选择交付使用 ,安全近80%的香港云服务器性代安全负责人担心安全漏洞会导致自己丢掉工作,最令人担忧的忽视是 ,超过半数的应用企业即便会进行安全相关工作 ,也仍要等到开发周期结束才介入安全环节。安全

这不是工具层面的问题,而是系统性问题 ,是文化差距,在应用层漏洞占安全漏洞43%的当下,模板下载这些问题正使企业暴露于风险之中。

应用安全 :一项战略风险

软件支撑着业务运转  ,这意味着软件漏洞会使业务面临风险 ,尽管大多数公司都认识到了这一风险 ,但很少有公司有足够的资源来应对。近90%的团队仅将11%至20%的安全预算分配给应用安全——在美国,安全漏洞的平均损失已攀升至948万美元 。

Cypress Data Defense公司的应用安全总监史蒂夫·科斯滕(Steve Kosten)称,这反映了该行业的根源问题。他告诉我  :“应用安全是免费模板网络安全的小兄弟。大多数安全负责人都是从基础设施领域成长起来的。对于开发人员每天部署20次,他们不觉得有什么;但如果网络团队也如此频繁地变更,他们就会抓狂 。”

结果可想而知:大量资金被投入到防火墙和边界工具上,而代码级安全却被忽视 。

安全仍是瓶颈

讽刺的是:安全本应促进创新 ,但对许多团队来说 ,它出现得太晚,源码库反而拖慢了进度 。

我这么说可能暴露年龄了——20年前,我在EDS担任安全架构师时 ,我的职责之一就是在应用程序获准发布前进行最终的安全审查。问题在于 ,等我介入时 ,应用程序已经开发完成  ,数月的工作已经投入其中  。因此 ,当我发现严重漏洞时 ,我只有两个选择:要么放行 ,祈求一切顺利 ,高防服务器要么当坏人,强制推迟发布,引发高昂的返工成本。

这两个选择都不理想 ,但那是2005年的情况。令人惊讶的是 ,到了2025年 ,许多企业仍在这样运作。数据也支持这一点——只有36%的受访者表示会在规划阶段就引入安全环节,而高达57%的建站模板受访者则要等到部署前夕才考虑安全。

科斯滕对此表示赞同。他说:“尽管多年来一直有人宣扬应用安全的重要性 ,但它仍被视为一项临时任务。只要企业缺乏安全开发流程,安全问题就会持续在后期出现 ,并导致发布延迟。”

尽管我们已经经历了二十年的DevOps 、威胁建模和“左移”理念的推广 ,但安全仍然是在最后才被强行加入的 ,并且仍然被视为一种障碍,而非合作伙伴 。

权衡取舍的文化

看到62%这个数字——即企业承认故意发布不安全代码——可能会让人感到愤怒 ,但科斯滕给出了更细致的观点。他说 :“真正的问题不在于代码是否带有漏洞 ,而在于企业是否了解他们所承担的风险 。”

他描述了三种类型的企业 :一种是对自身脆弱性一无所知(真正的失败),一种是在没有风险评估的情况下应对问题(生存模式),还有一种则是基于全面的风险评估做出明智的权衡取舍(成功) 。“真正的失败在于 ,企业在不了解自身安全状况或所承担风险的情况下运营  。”

淹没在误报中

另一个关键挑战是:干扰信息过多。报告显示,58%的团队表示,扫描工具产生的误报让他们不堪重负 ,这个数字可能还低估了问题的严重性 。科斯滕指出:“安全团队常常未经验证就将扫描工具的原始输出交给开发人员  ,这会导致两种不良后果:开发人员忽视他们不理解的真实问题,或者浪费时间修复根本不存在的问题。”

为了解决干扰信息过多的问题 ,他建议根据应用程序的上下文调整工具设置 ,优先考虑真实风险,并考虑寻求外部支持。他说:“每天都在做这件事的托管服务提供商,往往能更快 、更准确地验证结果。”

基础问题仍未解决

尽管人们已经有了广泛的认知 ,但近一半的企业仍未解决OWASP十大安全漏洞等基础问题 ,这并不一定是因为疏忽。正如科斯滕所指出的 ,随着时间的推移,OWASP的漏洞类别已经变得更加广泛和复杂。“修复整个类别的漏洞并非易事 ,对于资源不足的团队来说尤其如此 。”

他还指出,人们错误地将安全视为合规要求,而非设计原则。“如果安全只是在最后才被强行加入以满足审计要求,那么结果不会是安全的软件,而只是临时修补。”

寻求外部支持的理由

报告显示 ,83%的安全专业人士愿意将至少部分应用安全项目外包,这并非失败的标志 ,而是认识到现代开发周期需要大多数内部团队无法提供的支持。

托管应用安全提供商不仅具备处理能力,还具备专业知识——他们对不断变化的工具 、语言和威胁模型拥有丰富的经验 。科斯滕认为,他们的价值在于能够补充内部团队的能力:“让外部合作伙伴负责验证和扫描工作。这样  ,你的团队就可以专注于安全设计和与开发人员的协作。”

未来之路

应用安全并没有变得更容易,人工智能生成的代码已经引入了新的漏洞 ,而攻击手段也在同步快速演变 ,大多数企业并没有相应扩大安全团队的规模。

但解决方案不在于更多的工具 ,而在于更好的集成、更好的可见性,以及一种将应用安全视为业务推动因素而非障碍的文化转变  。

几十年来,我们一直在谈论“左移” ,也许今年 ,我们终于能说到做到了 。

  • Tag:

相关文章

  • Twitter 回应,2 亿用户数据不是通过系统漏洞流出

    Bleeping Computer 网站披露,沸沸扬扬的 Twitter 2 亿用户数据泄露并在网上出售的事件可能出现了反转。Twitter 在声明中表示,针对媒体报道的用户数据在网上出售问题,公司组
    2025-12-07

  • 消息称英伟达、AMD 将制造基于 ARM 的 PC 芯片,挑战英特尔和苹果

    10 月 24 日消息,据路透社报道,人工智能芯片巨头英伟达已经开始设计能够运行微软 Windows 操作系统的中央处理器CPU),并使用 Arm 公司的技术。消息人士透露,AMD 也计划制造基于 A
    2025-12-07

  • 成功整合数据中心的五个关键步骤

    当谈到数据中心整合时,做出整合的决定是最容易的部分。更困难的是弄清楚如何实际执行整合。因此,在开始整合数据中心之前制定一个逐步整合数据中心的计划是很重要的。下面小编带大家了解计划中包含的关键步骤,以及
    2025-12-07

  • 联想方案服务斩获CCF技术发明奖,助力云原生技术发展​

    10月27日,中国计算机学会CCF)公布了我国计算机科技领域最具权威性的科技奖项——2023年度“CCF科技成果奖”评选结果,共有41个项目荣获2023年度CCF科技成果奖。由联想集团与上海交通大学等
    2025-12-07

  • 从基于威胁到基于风险的安全方法

    网络攻击者发现自己始终处于优势地位。他们可以决定何时、何地以及如何攻击一家企业,用时间和耐心来选择他们想要攻击的时刻。作为网络安全专业人士,经常发现自己在打一场艰苦的战斗。云计算、远程员工和软件即服务
    2025-12-07

  • 谈谈PCIe6.0规范:带宽提高一倍,成就创新算力架构

    作为CPU与存储之间的连接通道,PCIe自推出以来始终扮演着重要的作用。随着大数据分析、视频渲染等技术的飞速发展,PCIe6.0标准于去年初正式发布,相比较上一代PCIe 5.0规范,带宽再次翻倍,达
    2025-12-07

最新评论