ShiftLeft 发布应用安全积极进展报告

关键要点

• ShiftLeft 报告显示开源软件漏洞减少 97%。
• 通过识别可攻击的开源漏洞，开发者能够更快修复关键问题。
• MTTR（平均修复时间）减少 37%，提升整体安全性。
• 快速扫描让安全团队能够更频繁地进行扫描，提升覆盖率。
• 实时扫描已成为 CI 过程中的重要部分。

ShiftLeft 于周四发布了在应用安全（AppSec）方面的一些罕见好消息，报告称基于对客户的数百万次扫描，他们发现开源软件（OSS）漏洞减少了
97%。这一发现为开发团队和安全团队提供了新的希望，帮助他们更有效地管理安全风险。

研究人员指出，通过识别和优先处理真正可攻击的 OSS漏洞，应用安全团队和开发者现在能够修复重要问题，加快代码交付，并以更少的、更有效的修复来提升安全性。这一方法使得开发者在处理安全问题时，不再需要分散注意力在大量的误报上，节省了修复时间。

在其他重要发现中，ShiftLeft的报告提到，专注于可攻击性并减少误报的做法，让开发者能够更快进行修复，并降低平均修复时间（MTTR）。ShiftLeft 报告显示 MTTR 年同比减少
37%，这有助于提高整体安全态势，降低攻击的可能性，因为它减少了漏洞暴露的时间。

报告还指出，快速扫描现在允许安全团队更频繁地进行扫描，通过提升检测覆盖率来改善安全性。整体来看，ShiftLeft 报告的中位扫描时间为 90秒，显著提升了应用安全保障能力。

BluBracket 的产品及开发者关系负责人 Casey Bisson 表示，ShiftLeft的报告突显了人员、流程和工具的结合如何改善应用和代码安全的结果，特别是在利用开源代码和软件时。Bisson 还指出，自动化的实时扫描已成为 CI过程中不可或缺的一部分，是开发者在开发阶段和上线前获得提升安全所需反馈的最有效方式。

“通常来说，我们看到优先考虑安全的团队，无论使用何种解决方案，都能取得更好的结果，” Bisson 说。
“问题是这样的团队仍然是少数。对持续的代码和应用安全问题的更高意识是必需的，这就是为什么我们与 Linux基金会合作，以帮助从源头上保障软件安全。让安全变得足够简单，让团队不必费力去优先处理安全问题是非常重要的。”

StackHawk 的联合创始人兼首席安全官 Scott Gerlach 表示，MTTR的变化是改善的积极指标，但仍表明我们还有很多工作要做。Gerlach强调，如果我们仍然在生产环境中发布漏洞，然后再去发现并修复这些问题，那就不是“向左转”。

“这充其量只是对旧方法的改进，” Gerlach 说，“领先的组织正在给开发者提供工具和信息，以便在编写软件时解决这些可攻击的 76%
漏洞。这意味着我们发布高质量软件，还有空间在接下来的两个迭代中进行新特性开发，而不是重复修复。”