دراسة عالمية أجرتها Checkmarx تكشف عن زيادة معرفة المطورين ببواطن أمور آليات أمان التطبيقات، في ظل استمرار مواجهة معضلة الوقت المستهلك في إرساء آليات الأمان
باراموس، نيو جيرسي
تركز العديد من المؤسسات على توفير تجربة أفضل للمطورين على صعيد أمان التطبيقات، لكنها لم تتوصل إلى إجماع بشأن سير عمل نظام العمليات والتطوير والأمان (DevSecOps) والمقاييس المثلى
أصدرت اليوم شركة Checkmarx تقريرها البحثي العالمي، بعنوان 'تطور DevSecOps: من DevEx إلى DevSecOps'، الذي تناول بالدراسة الممارسات الحالية لفِرق التطوير في المؤسسات الكبيرة في غمار سعيها إلى الوصول إلى حالة من النضج على صعيد التطوير والأمان والعمليات (DevSecOps). وقد توصل استطلاع الرأي إلى أن فِرق التطوير والأمان تحقق تقدمًا ملحوظًا في ما يتعلق بتطور DevSecOps، لكنها ما زالت تسعى إلى تحقيق التوافق بشأن سير العمل والمقاييس.
صرح Martin Lindsay، نائب رئيس قسم التسويق الإقليمي في Checkmarx، قائلاً: 'إن الزيادة الهائلة في عدد فِرق التطوير وأنظمة DevOps الفاعلة داخل المؤسسات الكبيرة تُظهر مدى أهمية اعتماد فريق DevOps وفريق الأمان لثقافة مشتركة تيسر سبل التعاون الناجح'. 'في ظل وضع هدف نهائي متمثل في تقديم كود برمجي عالي الأداء، والذي يعد بحكم طبيعته كودًا آمنًا، يجد هذان الفريقان أن تحسين تجربة المطورين وضمان أمان التطبيقات ما هو إلا خطوة أولى، وأن آليات الأمان لا بد أن تجد طريقة لمواكبة وتيرة التطور السريع.'
أظهرت النتائج الرئيسية المستمدة من بحث تطور DevSecOps زيادة في ثقة المطورين العاملين في المؤسسات الكبرى في ما يتعلق بالمعارف التي اكتسبوها من التدريب على تطبيق آليات الأمان، وأنهم يقضون وقتًا كبيرًا في تنفيذ المهام المتعلقة بإرساء قواعد الأمان:
أفاد 21% من المطورين الذين شملهم الاستطلاع أن الأمان يأتي على رأس الأولويات بالنسبة لهم عند كتابة الأكواد البرمجية.
يتمتع 99.6% من المطورين بفرصة للتدريب على تطبيق آليات الأمان ومن بين هؤلاء، صنف 90% منهم فعالية التدريب الذي يتلقونه على أنها متوسطة أو عالية.
أفاد 41.53% من المطورين المشاركين في الاستطلاع أنهم يفهمون جيدًا تقارير الثغرات الأمنية التي يتلقونها، فضلاً عن آلية ظهور الثغرات في أثناء وقت التشغيل، وذلك بنسبة 41% إلى 60% من الوقت.
يقضي 72% من المطورين أكثر من 17 ساعة أسبوعيًا في تنفيذ المهام المتعلقة بالأمان، ويقضي واحد من كل أربعة منهم أكثر من 25 ساعة.
يتتبع نموذج Checkmarx DevSecOps Maturity Model عملية انتقال المؤسسات من منهج DevOps التقليدي إلى DevSecOps، على أربع مراحل:
المرحلة 0 – الأمان التفاعلي : يتم 'إدراج' نظام AppSec بشكل مفاجئ في عملية التطوير، ما يؤدي إلى إنشاء عائق يعرقل عملية التفعيل.
– : يتم 'إدراج' نظام AppSec بشكل مفاجئ في عملية التطوير، ما يؤدي إلى إنشاء عائق يعرقل عملية التفعيل. المرحلة 1 – التركيز على الأمان : يرصد نظام AppSec الثغرات الأمنية ويوجهها إلى المطورين، الذين يتلقون تنبيهات كثيرة، لكن من دون تقديم إرشادات واضحة حول كيفية معالجة أو إصلاح هذه الثغرات.
– : يرصد نظام AppSec الثغرات الأمنية ويوجهها إلى المطورين، الذين يتلقون تنبيهات كثيرة، لكن من دون تقديم إرشادات واضحة حول كيفية معالجة أو إصلاح هذه الثغرات. المرحلة 2 – التركيز على تجربة المطورين ( DevEx ) : يتم دمج الأدوات في بيئة التطوير المتكاملة (IDE)، ما يتيح للمطورين إصلاح الثغرات الأمنية باستخدام إرشادات المعالجة من دون تأثير يُذكر على سير العمل.
– : يتم دمج الأدوات في بيئة التطوير المتكاملة (IDE)، ما يتيح للمطورين إصلاح الثغرات الأمنية باستخدام إرشادات المعالجة من دون تأثير يُذكر على سير العمل. المرحلة 3 – نظام DevSecOps فاعل: أصبحت ثقافة DevSecOps راسخة الآن؛ إذ تتفق فِرق الأمان والتطوير على السياسات وآليات الحوكمة والتعاون؛ إلى جانب أن التدريب يتم توفيره عند الحاجة وداخل بيئة التطوير المتكاملة (IDE)؛ فضلاً عن أن الأهداف والمقاييس محددة ومتوافقة.
توصلت دراسة Checkmarx إلى أن معظم المؤسسات الكبيرة تعمل على تطبيق نظام DevSecOps فاعل والالتزام بتحقيق ذلك:
لم يعد يقتصر تركيز 30% في المؤسسات على تجربة المطورين فحسب، بل أصبحت تطور عمليات أكثر تقدمًا.
تعمد 28.3% من المؤسسات إلى تتبع متوسط الوقت اللازم للمعالجة كمؤشر قياس.
تقيس 45% منها مستوى أمان الأكواد البرمجية.
تعمد 46.27% منها إلى تتبع القدرة على الوفاء بالمواعيد النهائية.
لم يصل السوق إلى مستوى النضج الكامل بعد، وتكشف دراسة Checkmarx أنه لا يوجد حتى الآن التزام واضح بالممارسات المثلى المعتمدة لتنفيذ وقياس فعالية DevSecOps. وعلى الرغم من أن المؤسسات قد أحرزت تقدمًا ملحوظًا، فإنه ما زال يتعين عليها تحقيق المزيد من التقدم.
المنهجية
تتألف مجموعة البحث من 1500 من رؤساء أقسام التطوير، ومهندسي المنصات ومطوريها/مهندسي البرمجيات في المؤسسات الكبيرة التي تتجاوز إيراداتها السنوية 750,000,000 دولار أمريكي في كل أنحاء أمريكا الشمالية (الولايات المتحدة الأمريكية)، وأوروبا (المملكة المتحدة وفرنسا وألمانيا والنمسا وسويسرا)، ومنطقة آسيا والمحيط الهادئ (أستراليا ونيوزيلندا وسنغافورة). أجرت البحث الميداني Censuswide في شهر ديسمبر من عام 2024، وتجدر هنا الإشارة إلى أن Censuswide تمتثل بقواعد جمعية أبحاث السوق، التي تعتمد على مبادئ ESOMAR، وتوظف أعضاء منها.
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
زاوية
منذ 5 أيام
- زاوية
"إيتيدا" تطلق النسخة الثالثة من "يوم اختبار البرمجيات" بمشاركة دولية واسعة
المؤتمر ينضم رسميًا إلى شبكة مؤتمرات المجلس الدولي لجودة البرمجيات ISTQB® العالمية الذكاء الاصطناعي في اختبار البرمجيات: 10 شركات عالمية ومحلية تعرض أحدث الابتكارات والأدوات مركز تقييم واعتماد هندسة البرمجيات يعتمد أكثر من 9 آلاف متخصص ويمنح أكثر من 13,600 شهادة دولية القاهرة – مصر، تحت رعاية وزارة الاتصالات وتكنولوجيا المعلومات، أطلقت هيئة تنمية صناعة تكنولوجيا المعلومات (إيتيدا) اليوم فعاليات النسخة الثالثة من "يوم اختبار البرمجيات"، والذي نظمه مركز تقييم واعتماد هندسة البرمجيات (SECC)، بحضور المهندس/ أحمد الظاهر، الرئيس التنفيذي للهيئة، والسيدة/ كلوديا دوسا زيجر، رئيس المجلس الدولي لجودة البرمجيات ISTQB، ونخبة من الخبراء العالميين من المؤسسات العالمية المعنية بصناعة البرمجيات، وذلك مع الانضمام الرسمي للمؤتمر إلى شبكة مؤتمرات ISTQB® العالمية. ويحمل مؤتمر هذا العام، الذي يأتي بالتعاون مع مجلس اختبار البرمجيات المصري (ESTB)، شعار "تطور اختبار البرمجيات: الابتكار باستخدام الذكاء الاصطناعي ومنهجيات DevOps"، وذلك بمشاركة أكثر من 500 متخصص وممارس في اختبارات البرمجيات وجودتها من مختلف القطاعات، إلى جانب خبراء ورواد الصناعة ومهندسي البرمجيات بمجموعة من الشركات المتخصصة مثل Microsoft، وDeloitte، وExpleo، وDXC، وغيرها من الشركات المحلية والعالمية. وفي كلمته الافتتاحية للمؤتمر، أكد المهندس أحمد الظاهر، الرئيس التنفيذي لهيئة تنمية صناعة تكنولوجيا المعلومات (إيتيدا)، أن الاستثمار في مجال اختبار البرمجيات وضمان الجودة أصبح محركًا حقيقيًا للاقتصاد، حيث يساهم في خلق فرص عمل جديدة ويعزز كفاءة المنتجات الرقمية، مما يزيد من ثقة الأسواق في الصناعة المصرية. وأوضح الظاهر أن الهيئة تسعى من خلال تنظيم المؤتمرات التقنية المتخصصة إلى تعزيز تبادل الخبرات ودعم مجتمع مطوري ومختبري البرمجيات في مصر، حيث تساهم هذه الفعاليات بشكل مباشر في رفع تنافسية الصناعة المحلية وتمكين الكفاءات لمواجهة التحديات التي تفرضها التقنيات الحديثة مثل الذكاء الاصطناعي، مشيرًا إلى أن هذه التحديات تفتح آفاقًا جديدة وفرصًا حقيقية تتطلب استعداد الجميع وتعاونهم المستمر لمواكبة التطورات، ومؤكدًا أن مصر تمتلك كل الإمكانيات لتكون مركزًا عالميًا رائدًا في جودة البرمجيات والخدمات الرقمية. وأضاف الظاهر أن مركز تقييم واعتماد هندسة البرمجيات (SECC) اعتمد حتى الآن أكثر من 9,000 متخصص في اختبار البرمجيات، ومنح أكثر من 13,600 شهادة دولية في مجالات متنوعة تشمل Mobile Applications، وCybersecurity، وArtificial Intelligence، وAutomotive Software، وهو ما يعكس تطور الكفاءات المصرية وقدرتها على المنافسة على المستوى العالمي. وأضاف الظاهر: "نعيش اليوم تحولات تقنية متسارعة يقودها الذكاء الاصطناعي، ما يفرض تحديات جديدة على اختبار البرمجيات. ومن خلال هذا المؤتمر، نحرص على تمكين المجتمع التقني من مواكبة هذه التحولات عبر تبادل المعرفة، واستعراض أحدث المنهجيات، وأدوات الأتمتة والاختبار الذكي." وأشار إلى أن مصر أصبحت وجهة مفضلة لشركات عالمية تقدم خدمات تطوير واختبار البرمجيات، مستفيدة من البنية التحتية الرقمية المتطورة التي تتيح تصدير هذه الخدمات إلى الأسواق العالمية بنجاح. ومن جانبها، قالت السيدة/ كلوديا دوسا زيجر، رئيس المجلس الدولي لجودة البرمجيات (ISTQB)، إن مشاركتها في فعاليات "يوم اختبار البرمجيات 2025" تمثل فرصة متميزة للتفاعل مع مجتمع تقني ديناميكي، مشيدةً بالحضور اللافت من الشباب المتحمس الذي يشكل مستقبل هذا القطاع الحيوي. وقامت بتقديم عرض توضيحي لمراحل ظهور وتطور تكنولوجيا الذكاء الاصطناعي واستخدامها في مراحل اختبار البرمجيات بدءا من التخطيط والتحليل ومرورا بالتصميم والتنفيذ. وتضمن جدول أعمال المؤتمر مسارين حيث ضم المسار الأول 9 جلسات تقنية متخصصة قدمها مجموعة من خبراء البرمجيات ورواد الصناعة. وتناولت المحادثات أحدث اتجاهات وتكنولوجيات مجال اختبار البرمجيات ومنها استخدام الذكاء الاصطناعي التوليدي في تقييم السلوك الناشئ للأنظمة المعقدة والنظام البيئي للاختبار المرتكز على الذكاء الاصطناعي وDevOps والربط بين أخلاقيات الذكاء الاصطناعي وأدوات تقييم النماذج والاختبار. وشمل المسار الثاني للمؤتمر 10 عروض تفاعلية وتجارب حية قدمتها مجموعة شركات عالمية ومحلية مع عرض لأحدث أدوات اختبار البرمجيات المدفوعة بالذكاء الاصطناعي بالإضافة إلى سيناريوهات للاختبار الذكي، وأتمتة العمليات، وأمن البرمجيات، وغيرها. ومن جانبه، صرح الدكتور هيثم حمزة، القائم بأعمال رئيس مركز تقييم واعتماد هندسة البرمجيات (SECC): "انضمام يوم اختبار البرمجيات إلى شبكة مؤتمرات ISTQB® هو شهادة دولية على جودة ما نقدمه في مصر من خدمات، ومؤشر على حضورنا المتنامي عالميًا". وأشار إلى إنه على مدار نحو 24 سنة، ومنذ أن أُنشئ كمبادرة استراتيجية من وزارة الاتصالات وتكنولوجيا المعلومات، يواصل المركز جهوده للارتقاء بصناعة البرمجيات، من خلال تبني أفضل المعايير وتطبيق الممارسات العالمية، مشيرا إلى أن هذا المؤتمر يأتي ليجسد هذا الالتزام، حيث تلعب الهيئة والمركز دورًا محوريًا في جمع أبرز الخبراء والممارسين في المجال، لدفع مسيرة التميز في واحدة من أهم الصناعات التكنولوجية. وعلى هامش المؤتمر، تم عقد اجتماع المجلس المصري لاختبار البرمجيات ESTB الدوري حضره المهندس أحمد الظاهر رئيس "إيتيدا" والسيدة/ كلوديا دوسا زيجر، رئيس ISTQB، وجويل أوليفيرا، رئيس حوكمة ISTQB. وناقش المجلس طرح شهادات اختبار برمجيات القطاع المالي كالتكنولوجيا المالية واختبار البرمجيات باستخدام الذكاء الاصطناعي التوليدي في السوق المصري. كما تم مناقشة إطلاق يوم اختبار البرمجيات العربي ليضم الدول العربية التي لديها مجالس برمجيات وهي مصر والسعودية والامارات والجزائر والأردن وتونس والمغرب لينعقد تباعًا في كل دولة على حده وسيتناول قضايا البرمجيات العربية المشتركة وتحدياتها كالتعريب ووضع اختبارات برمجيات تتماشى مع الثقافة العربية. كما اتفق المجلس على التوسع في اعتماد جهات أكثر تُقدم شهادات وتقديم تخفيضات مناسبة للطلاب في مصر بدون اتفاقات مُلزمة مع الجامعات. -انتهى-
Dubai Iconic Lady
١٤-٠٥-٢٠٢٥
- Dubai Iconic Lady
وجدت دراسة استقصائية عالمية أجرتها شركة Checkmarx أن ما يقرب من نصف فرق التطوير 'تمتلك' الآن أمن التطبيقات
باراموس، نيوجيرسي يظل تحسين نضج DevSecOps أولوية، ومع ذلك أفاد مسؤولو أمن المعلومات أن 39% فقط من العمليات التجارية تعمل على تطبيقات آمنة نشرت شركة Checkmarx، الشركة الرائدة في مجال أمن التطبيقات السحابية للمؤسسات، تقريرها البحثي السنوي بعنوان 'دليل مسؤولي أمن المعلومات الرئيسيين لتوجيه أمن التطبيقات في عصر DevSecOps'. وبناءً على استطلاع رأي شمل 200 من مسؤولي أمن المعلومات الرئيسيين من مختلف الصناعات والمناطق، كشفت الدراسة العالمية عن العوامل الرئيسية التي تدفع الاتجاه نحو تعاون أوثق بين فرق التطوير والأمن. أحد النتائج الرئيسية هو أن 49% من مسؤولي أمن المعلومات يقولون إن المشترين الآن يأخذون أمان التطبيق (AppSec) في الاعتبار عند اتخاذ قرارات الشراء. في الواقع، في ما يقرب من نصف شركات المنتجات المعتمدة على البرمجيات، انتقلت الرقابة الأمنية خارج مكتب مسؤول أمن المعلومات بالكامل. مع تزايد تعقيد التطبيقات وحجمها -مدفوعًا بالذكاء الاصطناعي والخدمات المصغرة وهندسة التطبيقات الهجينة- أصبحت فرق الهندسة مسؤولة بشكل متزايد عن ضمان التسليم الآمن والقابل للتطوير. مع دورات الإصدار الأسرع وقواعد التعليمات البرمجية المتوسعة، تتحول قرارات AppSec والميزانيات نحو فرق التطوير لتضمين الأمان في وقت مبكر وبكفاءة أكبر في عملية التطوير. قال Jonathan Rende، كبير مسؤولي المنتجات في شركة Checkmarx: 'نحن نشهد تغييرًا محوريًا: أصبحت AppSec الآن أداة تمييز تنافسية وأولوية في الميزانية ومسألة تتعلق بمجلس الإدارة'. 'مع تولي فرق التطوير مسؤولية أكبر، يتعين على مسؤولي أمن المعلومات التركيز على الحوكمة والاستراتيجية والتعاون للإبقاء نتائج الأمن على المسار الصحيح'. النتائج الرئيسية: يعد أمان التطبيق أمرًا بالغ الأهمية لقرارات الشراء كشف مسؤولو أمن المعلومات الرئيسيين الذين يستجيبون من الصناعات بما في ذلك البنوك والتمويل والإعلام والتأمين والبرمجيات والتصنيع والقطاع العام أن برامج وممارسات AppSec القوية تظل عامل تمييز قوي في قرارات الشراء التي يتخذها عملاؤهم. تشمل نقاط البيانات الرئيسية ما يلي: أفاد 49% من المشاركين أن المشترين يأخذون في الاعتبار أمان التطبيق بشكل منتظم في قرارات الشراء أشار 24% إلى أن أمان التطبيق هو 'دائمًا' عامل في تلك القرارات ويظهر هذا الاتجاه بشكل أكثر وضوحًا في أوروبا، حيث أفاد 58% من المشاركين بأن الأمان هو 'دائمًا' عامل، مقارنة بـ 33% في منطقة آسيا والمحيط الهادئ و8% فقط في أمريكا الشمالية. ووجدت دراسة Checkmarx أيضًا أن عملية صنع القرار أصبحت لامركزية بشكل متزايد، حيث أصبحت فرق التطوير تؤثر في كثير من الأحيان على ممارسات الأمان وحتى امتلاك سلطة الميزانية. وكشفت الدراسة ما يلي: في المنظمات التي تقوم بتطوير المنتجات القائمة على البرمجيات، يتم تقسيم المسؤولية، حيث يقوم 50% من المنظمات بتعيين مسؤوليات الأمن إلى مسؤولي أمن المعلومات الرئيسيين بينما يقوم 43% منها بنقل الإشراف الأمني إلى فرق التطوير تقول 56% من المؤسسات أن معظم فرق التطوير الخاصة بها متكاملة بالكامل مع برامج AppSec وأضاف Rende: 'مع انتقال المسؤولية الأمنية نحو فرق التطوير، ينتقل التمويل أيضًا. لهذا السبب يحتاج مسؤولي أمن المعلومات الرئيسيين اليوم إلى القيادة بتأثير، وإنشاء حواجز حماية، وليس حواجز على الطرق'. لا يزال دور الأمن في قاعة الاجتماعات غير متسق يسلط تقرير الدراسة الضوء على فجوة مستمرة في كيفية توصيل المعلومات الأمنية على المستوى التنفيذي. في حين أن 62% من مسؤولي أمن المعلومات يقدمون مقاييس AppSec إلى مجالس إداراتهم، فإن معظمهم يركزون فقط على عدد نقاط الضعف، بينما يربط 25% فقط تلك المخاطر بنتائج الأعمال مثل سمعة العلامة التجارية أو التعرض التنظيمي. ويؤكد هذا الانفصال على الحاجة الملحة إلى أن يقوم مسؤولو أمن المعلومات الرئيسيين بتأطير الأمن من حيث مخاطر الأعمال، وهو شرط أساسي لضمان الدعم المستدام على المستوى التنفيذي.
البوابة
١٣-٠٥-٢٠٢٥
- البوابة
إيتيدا تطلق النسخة الثالثة من يوم اختبار البرمجيات الإثنين المقبل
أعلنت هيئة تنمية صناعة تكنولوجيا المعلومات "إيتيدا" عن تنظيم النسخة الثالثة من "يوم اختبار البرمجيات"، يوم الإثنين 19 مايو 2025، وذلك من خلال مركز تقييم واعتماد هندسة البرمجيات SECC، بمركز إبداع مصر الرقمية في الجيزة. ويأتي الحدث هذا العام تحت شعار: "تطور اختبار البرمجيات: الابتكار باستخدام الذكاء الاصطناعي وممارسات DevOps". جلسات حوارية وعروض حية بمشاركة محلية وعالمية يهدف الحدث إلى استعراض أحدث التوجهات العالمية في مجال اختبار وجودة البرمجيات، من خلال كلمات رئيسية وجلسات نقاشية يشارك فيها خبراء من مصر والعالم، كما يشهد عروضًا حية لأحدث أدوات وتقنيات اختبار البرمجيات تقدمها شركات رائدة، ما يتيح للمشاركين فرصة مباشرة للتفاعل مع حلول مبتكرة، وبناء علاقات مهنية في مجال أخذ في النمو عالميًا. فرصة للمطوّرين والمهتمين بالجودة والاختبار ودعت "إيتيدا" كافة المهتمين بمجال تكنولوجيا المعلومات للمشاركة والتسجيل عبر ويمثل الحدث فرصة مهمة لمطوري البرمجيات، ومهندسي الجودة، والطلاب، للاستفادة من خبرات عملية في تطبيقات الذكاء الاصطناعي وDevOps في عمليات الاختبار، ضمن إطار تفاعلي ومهني.
