忽视应用安全的隐性代价

责任编辑：cres

作者：Tony Bradley

2025-07-30 11:20:45

来源：企业网D1Net

原创

调查显示，62%的企业明知代码存在安全漏洞，仍选择交付使用，近80%的安全负责人担心安全漏洞会导致自己丢掉工作，最令人担忧的是，超过半数的企业即便会进行安全相关工作，也仍要等到开发周期结束才介入安全环节。

应用安全已不再只是一个技术问题，而是一个战略性问题，然而，从《2025年应用安全状况报告》来看，许多企业仍未做出相应调整，大多数团队不堪重负、资金不足，且常常在风险不明的情况下进行高风险的权衡取舍。

这不是工具层面的问题，而是系统性问题，是文化差距，在应用层漏洞占安全漏洞43%的当下，这些问题正使企业暴露于风险之中。

应用安全：一项战略风险

软件支撑着业务运转，这意味着软件漏洞会使业务面临风险，尽管大多数公司都认识到了这一风险，但很少有公司有足够的资源来应对。近90%的团队仅将11%至20%的安全预算分配给应用安全——在美国，安全漏洞的平均损失已攀升至948万美元。

Cypress Data Defense公司的应用安全总监史蒂夫·科斯滕（Steve Kosten）称，这反映了该行业的根源问题。他告诉我：“应用安全是网络安全的小兄弟。大多数安全负责人都是从基础设施领域成长起来的。对于开发人员每天部署20次，他们不觉得有什么；但如果网络团队也如此频繁地变更，他们就会抓狂。”

结果可想而知：大量资金被投入到防火墙和边界工具上，而代码级安全却被忽视。

安全仍是瓶颈

讽刺的是：安全本应促进创新，但对许多团队来说，它出现得太晚，反而拖慢了进度。

我这么说可能暴露年龄了——20年前，我在EDS担任安全架构师时，我的职责之一就是在应用程序获准发布前进行最终的安全审查。问题在于，等我介入时，应用程序已经开发完成，数月的工作已经投入其中。因此，当我发现严重漏洞时，我只有两个选择：要么放行，祈求一切顺利，要么当坏人，强制推迟发布，引发高昂的返工成本。

这两个选择都不理想，但那是2005年的情况。令人惊讶的是，到了2025年，许多企业仍在这样运作。数据也支持这一点——只有36%的受访者表示会在规划阶段就引入安全环节，而高达57%的受访者则要等到部署前夕才考虑安全。

科斯滕对此表示赞同。他说：“尽管多年来一直有人宣扬应用安全的重要性，但它仍被视为一项临时任务。只要企业缺乏安全开发流程，安全问题就会持续在后期出现，并导致发布延迟。”

尽管我们已经经历了二十年的DevOps、威胁建模和“左移”理念的推广，但安全仍然是在最后才被强行加入的，并且仍然被视为一种障碍，而非合作伙伴。

权衡取舍的文化

看到62%这个数字——即企业承认故意发布不安全代码——可能会让人感到愤怒，但科斯滕给出了更细致的观点。他说：“真正的问题不在于代码是否带有漏洞，而在于企业是否了解他们所承担的风险。”

他描述了三种类型的企业：一种是对自身脆弱性一无所知（真正的失败），一种是在没有风险评估的情况下应对问题（生存模式），还有一种则是基于全面的风险评估做出明智的权衡取舍（成功）。“真正的失败在于，企业在不了解自身安全状况或所承担风险的情况下运营。”

淹没在误报中

另一个关键挑战是：干扰信息过多。报告显示，58%的团队表示，扫描工具产生的误报让他们不堪重负，这个数字可能还低估了问题的严重性。科斯滕指出：“安全团队常常未经验证就将扫描工具的原始输出交给开发人员，这会导致两种不良后果：开发人员忽视他们不理解的真实问题，或者浪费时间修复根本不存在的问题。”

为了解决干扰信息过多的问题，他建议根据应用程序的上下文调整工具设置，优先考虑真实风险，并考虑寻求外部支持。他说：“每天都在做这件事的托管服务提供商，往往能更快、更准确地验证结果。”

基础问题仍未解决

尽管人们已经有了广泛的认知，但近一半的企业仍未解决OWASP十大安全漏洞等基础问题，这并不一定是因为疏忽。正如科斯滕所指出的，随着时间的推移，OWASP的漏洞类别已经变得更加广泛和复杂。“修复整个类别的漏洞并非易事，对于资源不足的团队来说尤其如此。”

他还指出，人们错误地将安全视为合规要求，而非设计原则。“如果安全只是在最后才被强行加入以满足审计要求，那么结果不会是安全的软件，而只是临时修补。”

寻求外部支持的理由

报告显示，83%的安全专业人士愿意将至少部分应用安全项目外包，这并非失败的标志，而是认识到现代开发周期需要大多数内部团队无法提供的支持。

托管应用安全提供商不仅具备处理能力，还具备专业知识——他们对不断变化的工具、语言和威胁模型拥有丰富的经验。科斯滕认为，他们的价值在于能够补充内部团队的能力：“让外部合作伙伴负责验证和扫描工作。这样，你的团队就可以专注于安全设计和与开发人员的协作。”

未来之路

应用安全并没有变得更容易，人工智能生成的代码已经引入了新的漏洞，而攻击手段也在同步快速演变，大多数企业并没有相应扩大安全团队的规模。

但解决方案不在于更多的工具，而在于更好的集成、更好的可见性，以及一种将应用安全视为业务推动因素而非障碍的文化转变。

几十年来，我们一直在谈论“左移”，也许今年，我们终于能说到做到了。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

网络安全应用安全

热门专题

科技驱动创新行业智行千里

《2022联想智能化转型行业白皮书》重磅发布

以分析之力造福亿万生灵——SAS白皮书下载

SAS是数据分析领域的领导者。通过提供创新的分析、商业智能和数据管理软件与服务，SAS帮助全球超过83,000家用户更好、更快地进行决策。自1976年以来，SAS一直向全球客户提供知的力量（THE POWER TO KNOW）。

融绘数字未来——H3C Navigate 2018 新华三领航者峰会

紫光旗下新华三集团主办，成都市政府和四川省经信委支持的2018 Navigate 领航者峰会，将于2018年3月30日-31日在成都世纪城新国际会展中心举行。本届峰会将以“融绘数字未来”为主题，诚邀政企代表、产业专家、IT专业人士及百行百业精英共计6000余人齐聚一堂，共话数字经济新时代的前沿技术创新、产业转型升级与生态建设等课题。

高端访谈

国药国际CIO冯伟：数字化转型要打破信息化建系统的固有思维

中国国际医药卫生有限公司数智化中心总经理冯伟在接受企业网D1Net专访时提到：“回过头来看，数智化建设最难的是转思维，必须打破信息化总想去建系统的固有思维，要以平台化思维、站在运营和业务的角度思考问题。思维转变后，很多问题将迎刃而解。”

创维集团信息总监宁江：数据治理是数字化转型的必由之路

创维集团信息总监宁江在接受企业网D1Net采访时提到：“如今，站在数字化转型的全局之下回顾过去几十年的信息化建设，似乎建了很多烟囱，系统之间、流程之间不能共享数据，孤岛林立。不同时期有不同时期的特征，都有其合理性和必要性，如今再来解决这些问题为时未晚。

海尔智家技术总监高丽：云原生加速企业数字化转型

海尔智家全球数字化平台用到了哪些云原生技术产品?如何实现降本增效?在云原生技术应用方面有哪些实践和探索?云原生技术发挥了哪些价值?在本期“云原生降本增效大咖说”中，企业网D1Net采访了海尔智家全球数字化平台技术总监高丽。

热文推荐

忽视应用安全的隐性代价

业务服务

网站地图

友情链接

合作伙伴