隨著應用程序開發(fā)步伐的加快，IT 和安全團隊正在對舊的應用程序安全(AppSec) 工具失去信心。

根據 Backslash 對 300 名 CISO、AppSec 經理和工程師的調查，遺留工具無法跟上并陷入永遠的追趕游戲。

影響是深遠的，大多數組織都看到云原生 AppSec 工具不足的廣泛影響。

該報告指出，“人”的影響尤為顯著，因為團隊合作良好的能力以及留住關鍵 AppSec 和開發(fā)人才的能力與團隊是否擁有現代化的云就緒工具直接相關。

最引人注目的調查結果之一是由于工具不足而浪費了大量時間，89% 的人至少浪費了四分之一的工作日（58% 的人浪費了一半以上）來尋找漏洞，而不是主動制定正確的安全策略。

其影響是廣泛的，員工的挫敗感、團隊之間的摩擦、留住人才的問題等等。

企業(yè)還需要承擔“防御”的硬成本，也就是防御稅，每年可能超過 100 萬美元，這甚至不考慮未充分保護給定企業(yè)應用程序的成本。

該報告得出的另一個令人擔憂的結論是，云原生工具不足是 AppSec 團隊與開發(fā)人員之間摩擦的根本原因。

當前一代的 AppSec 工具無法報告開發(fā)團隊根據警報采取行動所需的證據級別。

再加上報告的大量誤報，AppSec 團隊最終在開發(fā)人員眼中失去了信譽。

當被問及缺乏云原生工具的影響時，受訪者表示 AppSec/dev 摩擦不斷增加是被提及的第一大問題，其次是留住開發(fā)人才和 AppSec 人才。

我們發(fā)現 AppSec 團隊最想要的事情之一就是與他們的開發(fā)同行良好合作，這是整個調查過程中出現的一個核心問題。

對于追查漏洞所花費的時間，這一切都歸結為一個事實，即盡管企業(yè)正在擁抱基于云的應用程序開發(fā)，但 AppSec 團隊并未配備云原生工具。

他們很難跟上快速將代碼部署到云中的快節(jié)奏開發(fā)團隊的步伐，然后問題因應用程序安全工具而變得復雜，這些工具會產生過多的低價值警報。

對他們目前使用的工具的最大抱怨是，它們噪音很大，而且對發(fā)現的優(yōu)先級進行排序花費的時間太長，導致無休止、低效且徒勞無功的漏洞追蹤。

標準的 AppSec 工具根本不是為云構建的，并且缺乏對 AppSec 團隊成功完成工作絕對關鍵的云環(huán)境。

應用程序安全態(tài)勢管理 (ASPM)，一種新的安全方法，為 AppSec 團隊提供了更多控制權，并改善了他們應用程序的安全態(tài)勢。

最后，出現了一種新的思維方式，一種提供應用程序安全態(tài)勢的整體視圖的思維方式，使 AppSec 能夠在左移思維與被授權在漏洞被利用之前識別和緩解漏洞之間取得平衡。這就是市場的發(fā)展方向。

AppSec 專業(yè)人員已經明確表示，標準的 AppSec 工具不適用于云，他們每天都在處理后果，團隊摩擦、人才保留問題、收入受到威脅和聲譽下降。

AppSec 行業(yè)已準備好迎接重大變革，需要專門為理解云而構建的工具。

推動這一變革的責任應該從 CISO 和 AppSec 團隊自上而下地推動到組織中：原因有兩個。

首先，云安全已經向 CISO 證明，他們可以通過自給自足的方式全面了解和控制其云資產，這提高了 AppSec 的門檻，期望它也可以實現現代化，通過 AppSec 團隊的完全可見性進行簡化。

其次，雖然左移趨勢可以通過將責任轉移到開發(fā)方來幫助管理快速交付周期，但歸根結底，CISO 和 AppSec 團隊要負責應用程序的安全性。

因此，CISO 和 AppSec 團隊應該對云應用程序安全風險有充分的了解和洞察力。