精益求精的代码却被带漏洞组件毁于一旦
作者: 日期:2016年11月01日 阅:3,410

第三方组件可不总是你想象的那样,即省时省力又省成本的利器

cybersecurity_skills_and_talent_shortage-100689361-large

应用安全公司Veracode一项新研究显示,几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。

Veracode报告公司企业所写代码的逐年改进情况,某种程度上,是对不断增长的开源和第三方组件使用风险的积极发现。一个带关键漏洞的流行组件,可扩散至80000多个其他软件组件中,然后又用到可能数百万个软件项目的开发过程中。

软件开发中开源组件的广泛使用,正在公司企业间制造不受控的系统性风险。

Veracode报告还凸显了软件开发中的进步和依然留存的困难。3/5(60%)的应用程序在第一轮扫描中就不满足安全策略。

安全软件开发的最佳实践正在兴起,但仍未流行到能在整个软件开发市场上举足轻重的程度。

一个积极的改进,来自于更前瞻性的公司给予开发人员更多权力进行安全改善。比如说,如果开发人员在质量保障测试之前使用沙箱技术扫描App,修复率就会倍增。

开发人员培训甚至能形成更好的效果。修复指导和在线学习之类的最佳实践,可以极大改善漏洞修复率,某些情况下,可达原修复率表现的6倍。

开发运维实践正植根于设立了成熟应用安全方案的产业领袖之间。有些应用每天都被扫描数遍。每应用平均安全测试率是7次,有些应用被扫描600-700次,将安全融合进开发运维过程,可以为企业在不减缓软件开发的情况下减少风险贡献良多。

尽管某些方面有所改善,Web应用依然脆弱:经Veracode工具测试的Web应用中,超过半数受错误配置的安全通信或其他安全防御缺陷的影响。

Veracode的第7期《软件安全状态报告》,使用Veracode的代码审计工具,在300000次评估中,对去过1年半里的数十亿行代码,进行了代码级分析,给出了各项评估标准和数据。

---分割线---

最火爆的SFDC2016开发者大会(安全)11月19号举行,报名请长按下方二维码或点击“阅读原文”:

segment-fault-conference

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章