市场调查机构 Checkmarx 对 1500 多名首席信息安全官（CISO）、AppSec 经理和软件开发人员展开调查，发现 60% 的漏洞可以在代码构建或者测试阶段检测发现的。

援引报告内容，发现 34% 的受访者表示 AppSec 扫描已完全集成并自动化到他们的软件配置管理 （SCM） 系统、集成开发环境 （IDE） 和持续集成 （CI） / 持续交付 （CD） 工具中。

受访 CISO 表示，代码中风险最大的是 API 的使用和暴露，占比为 37%；其次是开源软件供应链（即恶意代码）（37%）、应用容器化（37%）、开源软件（36%）和基础设施即代码风险（36%）。

经历过攻击的 AppSec 经理表示，排名前三的原因包括开源软件供应链攻击 （41%）、凭据被盗、机密或弱身份验证 / 授权 （40%） 以及发布到生产环境的代码中的已知和 / 或未知漏洞 （ 39%）。

完整报告链接如下：It’s Here: The Global Pulse on Application Security Report