2020年軟件安全現狀報告:DevSecOps效果顯著
責編:gltian |2020-10-29 13:59:00全球最大的應用程序安全測試(AST)解決方案提供商Veracode近日發布了第十一版軟件安全狀態報告(SOSS)。
報告顯示,大多數應用程序至少包含一個安全缺陷,并且修復這些缺陷通常需要幾個月的時間。今年對130,000個應用程序的分析發現,開發團隊需要大約六個月的時間來解決50%的已發現安全漏洞。
該報告還發現了一些可顯著提高漏洞修補效率的最佳實踐,例如DevSecOps。
解決軟件安全漏洞:天生還是后天?
報告顯示,使用現代DevSecOps實踐解決問題可以提高漏洞修復率。例如,使用多種應用程序安全性掃描類型,在較小或更現代的應用程序中工作以及通過API將安全性測試嵌入到管道中,都可以減少修復安全性缺陷的時間,即使在“自然”程度不理想的應用程序中也是如此。
Veracode首席研究官Chris Eng表示:“軟件安全的目標不是一開始就完美編寫應用程序,而是全面,及時地發現和修復漏洞。”“即使面對最具挑戰性的環境,開發人員也可以采取適當的措施,通過正確的培訓和工具來提高應用程序的整體安全性。”
報告的其他主要發現包括:
應用程序漏洞成為常態:76%的應用程序至少具有一個安全漏洞,但只有24%的應用程序有高危漏洞。這是一個很好的信號,表明大多數應用程序沒有嚴重的問題。頻繁掃描可以將處理觀察結果的時間減少三周以上。
開源漏洞的數量在增加:盡管70%的應用程序從其開源庫中繼承了至少一個安全漏洞,但報告還發現,有30%的應用程序的開源庫中的漏洞比內部編寫的代碼多。關鍵的教訓是,軟件安全遵循木桶原則,其中包括識別和跟蹤應用程序中使用的第三方代碼。
多種掃描分析表明DevSecOps的功效:結合使用多種掃描類型(包括靜態分析(SAST)、動態分析(DAST)和軟件組成分析(SCA))的團隊可以提高修復率。那些同時使用SAST和DAST的人可以把漏洞修復工作縮短24天。
自動化很重要:在SDLC中進行自動化安全測試比非自動化測試發現半數漏洞的速度要快17.5天。
償還安全債務至關重要:今年的報告還發現,減少安全債(修補積壓的已知漏洞)可降低總體風險。報告發現,具有較高漏洞密度的老舊應用程序的修復時間要慢得多,平均需要63天才能修補一半漏洞。