報導摘要

Cypress Data Defense 的「2025 年應用程式安全現況報告」揭示了軟體安全領域日益惡化的危機。報告發現，儘管網路威脅日益加劇，但高達62%的組織為了趕上交付期限，仍舊會部署含有已知漏洞的程式碼。這項問題因資安團隊的倦怠、資源短缺，以及預算與實際風險的不匹配而雪上加霜。報告強調，資安問題現在比功能錯誤更容易導致產品發布延遲，且僅有少數組織在規劃階段就將資安納入考量。面對應用程式層攻擊的頻繁發生，組織需緊急重估其資安策略與預算分配，並考慮外包應用程式安全功能以應對人才短缺。

資安風險

報告揭示了多項嚴峻的資安風險：

1. 刻意部署不安全程式碼：為趕進度而部署帶有已知漏洞的程式碼，使得組織在開發初期就埋下資安隱患。
2. 資安流程參與過晚：多數組織直到部署前才讓資安團隊介入，錯失早期發現和修復漏洞的最佳時機。
3. 基礎風險未解決：近半數團隊仍未完全解決OWASP Top 10等基礎性威脅，使應用程式面臨高風險。
4. 資安資源不足與錯配：資安團隊面臨人員短缺、倦怠及頻繁的誤報，且應用程式安全預算與實際攻擊風險不符。

安全影響

這些資安風險對企業造成深遠影響：

1. 產品發布延遲與成本增加：資安問題已成為比功能錯誤更常見的產品發布延遲原因，導致專案成本增加。
2. 嚴重資安事件風險升高：應用程式層攻擊佔所有資料外洩的43%，部署帶漏洞程式碼直接提升了資料外洩和資安事件的風險。
3. 團隊士氣低落與人才流失：資安專業人員面臨巨大壓力、高焦慮和倦怠，這不僅影響工作效率，也可能導致優秀人才流失。
4. 企業聲譽與客戶信任受損：一旦發生資安事件，將嚴重損害企業聲譽，並動搖客戶對其服務的信任。

行動建議

為應對應用程式安全危機，報告提出以下建議：

1. 資安前置與左移：將資安納入軟體開發生命週期（SDLC）的早期階段，從規劃、設計就開始導入安全考量。
2. 優化資安預算分配：重新評估資安預算，將更多資源投入到應用程式安全領域，使其與實際攻擊風險相匹配。
3. 加強資安團隊建設：增補資安專業人員，提供充足資源，並導入自動化工具減少誤報，緩解團隊壓力。
4. 積極應對基礎威脅：確保全面解決OWASP Top 10等關鍵漏洞，築牢應用程式安全基石。
5. 考慮外包應用程式安全：在內部資源不足時，可考慮將部分應用程式安全職能外包給專業廠商。

結論

2025年的應用程式安全報告清楚描繪了當前企業面臨的嚴峻挑戰。在快速迭代的開發週期和日益複雜的網路威脅下，許多組織仍舊犧牲安全性以換取交付速度，這種策略無疑是飲鴆止渴。要根本解決這場應用程式安全危機，企業必須改變思維，將安全視為軟體開發不可或缺的一部分，而非事後彌補。透過提前介入安全流程、合理配置資源、提升團隊能力，並適時借助外部專業力量，才能有效構建強固的應用程式安全防線，確保數位資產與客戶資料的安全。