The Hidden Cost of Security Fixes for Software Developers の翻訳版です。
ソフトウェア開発者にとってのセキュリティ修正の隠れたコスト
2024年11月27日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
企業が安全で信頼性の高いアプリケーションの構築に努める中、新たな調査結果から見落とされているコストが明らかになりました。それは、セキュリティ問題の管理に費やす開発者の時間です。
JFrog に関する最近の IDC レポート 1 によると、ソフトウェア開発者は、スキャン レビュー、シークレット検出、複数のツール間のコンテキスト切り替えなどのセキュリティ関連のタスクに、1 週間の作業時間のかなりの部分 (最大 19%) を費やしています。
IT Pro に掲載されたレポートの主な調査結果によると、この時間投資は、企業に開発者 1 人あたり年間約 28,000 ドルのコストがかかります。また、この作業の多くが標準時間外に行われるため、開発者に負担がかかり、全体的な生産性が低下するという懸念もあります。
開発者に加えて、上級開発者、チーム リーダー、マネージャーの 50% が、セキュリティに費やされる時間が重要なプロジェクトに集中する能力を妨げ、イノベーションや新しいアプリケーションのタイムリーなリリースに影響を及ぼしていると感じています。
ツールの無秩序な増加も、アプリケーションセキュリティの隠れたコストの 1 つとして挙げられています。組織の 80% が、6 ? 20 種類のセキュリティテスト ツールを使用していると報告しています。これらのツールはサイロで使用すると、大量のノイズを生成し、真の脅威と誤検知を区別することが困難になります。
誤検知や重複した脆弱性を整理すると、開発者の時間が大量に消費され、一部の開発者は手順を完全に省略することになります。レポートによると、コード展開前に静的アプリケーションセキュリティテスト (SAST) を実施している開発者は 4 分の 1 未満であり、さらに多くの潜在的な脆弱性が残る余地があります。
これらの数字は懸念されますが、組織が利用できるオプションは増えていることに留意することが重要です。HCL AppScan on Cloud などの単一プラットフォーム ソリューションは、1 つの傘の下で幅広いテスト ツールを提供します。DAST、SAST、IAST、および SCA スキャンの結果は、集中管理されたダッシュボードで確認でき、セキュリティ タスクは複数のチーム メンバー間で簡単に共有できます。これらのさまざまなツールの結果を相互に関連付けることもできるため、トリアージと修復をより効率的に行えます。
さらに、AI は、スキャン結果の誤検出数を減らすだけでなく、スキャン範囲を広げ、HCL AppScan AutoFix などのツールでの修復を支援するためにもますます使用されています。
アプリケーションセキュリティテストは、組織が Digital+ Economy で競争する際にビジネス リスクを軽減し、全体的なアプリケーションセキュリティ体制を管理する上で非常に重要なツールです。
このレポートでは、効果的なセキュリティ文化を構築する上での課題の一部が取り上げられていますが、役立つツール、方法論、トレーニングはますます増えています。
HCL AppScan が、組織のセキュリティ体制を時間とリソースを削減しながら強化する方法についてご覧ください。