本文讲的是精益求精的代码却被带漏洞组件毁于一旦,第三方组件可不总是你想象的那样,即省时省力又省成本的利器
应用安全公司Veracode一项新研究显示,几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。
Veracode报告公司企业所写代码的逐年改进情况,某种程度上,是对不断增长的开源和第三方组件使用风险的积极发现。一个带关键漏洞的流行组件,可扩散至80000多个其他软件组件中,然后又用到可能数百万个软件项目的开发过程中。
软件开发中开源组件的广泛使用,正在公司企业间制造不受控的系统性风险。
Veracode报告还凸显了软件开发中的进步和依然留存的困难。3/5(60%)的应用程序在第一轮扫描中就不满足安全策略。
安全软件开发的最佳实践正在兴起,但仍未流行到能在整个软件开发市场上举足轻重的程度。
一个积极的改进,来自于更前瞻性的公司给予开发人员更多权力进行安全改善。比如说,如果开发人员在质量保障测试之前使用沙箱技术扫描App,修复率就会倍增。
开发人员培训甚至能形成更好的效果。修复指导和在线学习之类的最佳实践,可以极大改善漏洞修复率,某些情况下,可达原修复率表现的6倍。
开发运维实践正植根于设立了成熟应用安全方案的产业领袖之间。有些应用每天都被扫描数遍。每应用平均安全测试率是7次,有些应用被扫描600-700次,将安全融合进开发运维过程,可以为企业在不减缓软件开发的情况下减少风险贡献良多。
尽管某些方面有所改善,Web应用依然脆弱:经Veracode工具测试的Web应用中,超过半数受错误配置的安全通信或其他安全防御缺陷的影响。
Veracode的第7期《软件安全状态报告》,使用Veracode的代码审计工具,在300000次评估中,对去过1年半里的数十亿行代码,进行了代码级分析,给出了各项评估标准和数据。