压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

全球最大的應(yīng)用程序安全測(cè)試（AST）解決方案提供商Veracode近日發(fā)布了第十一版軟件安全狀態(tài)報(bào)告（SOSS）。

報(bào)告顯示，大多數(shù)應(yīng)用程序至少包含一個(gè)安全缺陷，并且修復(fù)這些缺陷通常需要幾個(gè)月的時(shí)間。今年對(duì)130,000個(gè)應(yīng)用程序的分析發(fā)現(xiàn)，開(kāi)發(fā)團(tuán)隊(duì)需要大約六個(gè)月的時(shí)間來(lái)解決50%的已發(fā)現(xiàn)安全漏洞。

該報(bào)告還發(fā)現(xiàn)了一些可顯著提高漏洞修補(bǔ)效率的最佳實(shí)踐，例如DevSecOps。

解決軟件安全漏洞：天生還是后天？

報(bào)告顯示，使用現(xiàn)代DevSecOps實(shí)踐解決問(wèn)題可以提高漏洞修復(fù)率。例如，使用多種應(yīng)用程序安全性掃描類型，在較小或更現(xiàn)代的應(yīng)用程序中工作以及通過(guò)API將安全性測(cè)試嵌入到管道中，都可以減少修復(fù)安全性缺陷的時(shí)間，即使在“自然”程度不理想的應(yīng)用程序中也是如此。

Veracode首席研究官Chris Eng表示：“軟件安全的目標(biāo)不是一開(kāi)始就完美編寫應(yīng)用程序，而是全面，及時(shí)地發(fā)現(xiàn)和修復(fù)漏洞。”“即使面對(duì)最具挑戰(zhàn)性的環(huán)境，開(kāi)發(fā)人員也可以采取適當(dāng)?shù)拇胧ㄟ^(guò)正確的培訓(xùn)和工具來(lái)提高應(yīng)用程序的整體安全性。”

報(bào)告的其他主要發(fā)現(xiàn)包括：

應(yīng)用程序漏洞成為常態(tài)：76％的應(yīng)用程序至少具有一個(gè)安全漏洞，但只有24％的應(yīng)用程序有高危漏洞。這是一個(gè)很好的信號(hào)，表明大多數(shù)應(yīng)用程序沒(méi)有嚴(yán)重的問(wèn)題。頻繁掃描可以將處理觀察結(jié)果的時(shí)間減少三周以上。

開(kāi)源漏洞的數(shù)量在增加：盡管70％的應(yīng)用程序從其開(kāi)源庫(kù)中繼承了至少一個(gè)安全漏洞，但報(bào)告還發(fā)現(xiàn)，有30％的應(yīng)用程序的開(kāi)源庫(kù)中的漏洞比內(nèi)部編寫的代碼多。關(guān)鍵的教訓(xùn)是，軟件安全遵循木桶原則，其中包括識(shí)別和跟蹤應(yīng)用程序中使用的第三方代碼。

多種掃描分析表明DevSecOps的功效：結(jié)合使用多種掃描類型（包括靜態(tài)分析（SAST）、動(dòng)態(tài)分析（DAST）和軟件組成分析（SCA））的團(tuán)隊(duì)可以提高修復(fù)率。那些同時(shí)使用SAST和DAST的人可以把漏洞修復(fù)工作縮短24天。

自動(dòng)化很重要：在SDLC中進(jìn)行自動(dòng)化安全測(cè)試比非自動(dòng)化測(cè)試發(fā)現(xiàn)半數(shù)漏洞的速度要快17.5天。

償還安全債務(wù)至關(guān)重要：今年的報(bào)告還發(fā)現(xiàn)，減少安全債（修補(bǔ)積壓的已知漏洞）可降低總體風(fēng)險(xiǎn)。報(bào)告發(fā)現(xiàn)，具有較高漏洞密度的老舊應(yīng)用程序的修復(fù)時(shí)間要慢得多，平均需要63天才能修補(bǔ)一半漏洞。