精益求精的代码却被带漏洞组件毁于一旦

安全
应用安全公司Veracode一项新研究显示,几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。

第三方组件可不总是你想象的那样,即省时省力又省成本的利器

应用安全公司Veracode一项新研究显示,几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。

Veracode报告公司企业所写代码的逐年改进情况,某种程度上,是对不断增长的开源和第三方组件使用风险的积极发现。一个带关键漏洞的流行组件,可扩散至80000多个其他软件组件中,然后又用到可能数百万个软件项目的开发过程中。

软件开发中开源组件的广泛使用,正在公司企业间制造不受控的系统性风险。

Veracode报告还凸显了软件开发中的进步和依然留存的困难。3/5(60%)的应用程序在***轮扫描中就不满足安全策略。

安全软件开发的***实践正在兴起,但仍未流行到能在整个软件开发市场上举足轻重的程度。

一个积极的改进,来自于更前瞻性的公司给予开发人员更多权力进行安全改善。比如说,如果开发人员在质量保障测试之前使用沙箱技术扫描App,修复率就会倍增。

开发人员培训甚至能形成更好的效果。修复指导和在线学习之类的***实践,可以极大改善漏洞修复率,某些情况下,可达原修复率表现的6倍。

开发运维实践正植根于设立了成熟应用安全方案的产业***之间。有些应用每天都被扫描数遍。每应用平均安全测试率是7次,有些应用被扫描600-700次,将安全融合进开发运维过程,可以为企业在不减缓软件开发的情况下减少风险贡献良多。

尽管某些方面有所改善,Web应用依然脆弱:经Veracode工具测试的Web应用中,超过半数受错误配置的安全通信或其他安全防御缺陷的影响。

Veracode的第7期《软件安全状态报告》,使用Veracode的代码审计工具,在300000次评估中,对去过1年半里的数十亿行代码,进行了代码级分析,给出了各项评估标准和数据。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2009-11-23 12:37:42

2011-04-02 09:50:20

云计算

2013-07-15 11:32:19

斯诺登互联网监控

2010-04-23 16:55:58

2010-10-22 09:19:46

服务器虚拟化

2021-05-20 15:24:15

Windows 10Windows微软

2021-08-02 08:18:14

Typescript编译代码

2020-09-14 14:00:58

隐私私人数据泄露

2022-11-08 10:31:45

2016-09-22 13:38:43

云计算AWS芒果TV

2020-08-14 09:07:40

互联网科技封禁

2021-07-19 16:25:50

人工智能语音安全

2011-01-21 10:01:07

jQueryjavascriptweb

2020-01-14 09:40:10

网络安全黑客互联网

2021-03-15 20:55:33

微信刷单移动应用

2015-10-15 14:29:57

数据中心运维

2018-02-28 15:14:49

新媒体

2011-02-14 14:14:29

2023-04-17 07:33:05

ChatGPTAI工程师

2022-04-21 10:28:53

架构技术电商
点赞
收藏

51CTO技术栈公众号