行業(yè)動(dòng)態(tài)

調(diào)查:企業(yè)漏洞掃描增加兩倍,漏洞減少三分之二

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-02-14    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


各種類型的掃描均越來(lái)越頻繁

圖源:Veracode《2022年軟件安全狀況》報(bào)告

Veracode發(fā)布新版《軟件安全狀況》報(bào)告。報(bào)告指出,相較于十年前,公司加快了應(yīng)用安全測(cè)試的節(jié)奏:接受掃描的應(yīng)用數(shù)量增加了兩倍,每個(gè)應(yīng)用的掃描次數(shù)增加了20倍。

Veracode宣稱,重視增加掃描頻率、自動(dòng)化測(cè)試與部署,以及進(jìn)行開發(fā)人員教育,這些都是轉(zhuǎn)向DevSecOps文化的標(biāo)志,有效減少了三分之二的脆弱軟件庫(kù),節(jié)省了三分之一的漏洞修復(fù)時(shí)間。盡管77%的第三方庫(kù)在披露三個(gè)月后仍然存在已知漏洞,但庫(kù)中漏洞的半衰期(即修復(fù)半數(shù)漏洞所需的時(shí)間)加快了三倍。

Veracode首席研究官Chris Eng表示,總體而言,開發(fā)人員正朝著正確的方向前進(jìn),但仍有很長(zhǎng)的路要走。

“事情正朝著好的方向發(fā)展,表明大家更加重視[盡早發(fā)現(xiàn)漏洞]。企業(yè)不斷納入不同掃描類型,大幅減少了脆弱軟件庫(kù)的數(shù)量——不是減少了一點(diǎn)點(diǎn),而是縮減了很多?!?

Veracode觀察公司數(shù)據(jù)庫(kù)中各個(gè)應(yīng)用并分析多年來(lái)的趨勢(shì)之后編撰了此版報(bào)告。

報(bào)告指出,十年前,Veracode客戶平均每年進(jìn)行兩到三次掃描,但現(xiàn)在大多數(shù)開發(fā)人員每天執(zhí)行靜態(tài)分析掃描,而動(dòng)態(tài)分析掃描則是每周執(zhí)行一次。例如,在2010年,只有10%的應(yīng)用至少每周掃描一次,絕大部分應(yīng)用甚至一個(gè)月都不掃描一次。而到了2021年,情況完全反轉(zhuǎn),90%的應(yīng)用每周至少掃描一次。

報(bào)告指出:“包括管道安全掃描的持續(xù)測(cè)試與集成逐漸成為常態(tài),用戶掃描其應(yīng)用的頻率就反映出了這一點(diǎn)。在軟件生命周期中越早發(fā)現(xiàn)問(wèn)題,就越有可能盡快解決問(wèn)題,避免小問(wèn)題演變成大問(wèn)題?!?

表明敏捷開發(fā)崛起并對(duì)漏洞產(chǎn)生影響的另一個(gè)趨勢(shì)是,開發(fā)團(tuán)隊(duì)似乎傾向于將單體程序分解為更小的服務(wù)集合(微服務(wù)架構(gòu))。Veracode的數(shù)據(jù)顯示,2021年只有不到5%的應(yīng)用使用多種框架和編程語(yǔ)言,遠(yuǎn)少于2018年的20%,表明涉及多種編程語(yǔ)言的大型軟件項(xiàng)目變得越來(lái)越少。

Eng稱:“你覺(jué)得應(yīng)用總是會(huì)隨著時(shí)間推移而變得越來(lái)越大——代碼越來(lái)越臃腫,而且用戶不會(huì)放棄任何功能。但我們觀察到的是應(yīng)用反而越來(lái)越小了,這些單語(yǔ)言應(yīng)用表明開發(fā)人員正逐漸采用微服務(wù)架構(gòu)?!?

不同類型的測(cè)試往往會(huì)發(fā)現(xiàn)不同類型的漏洞,但信息泄露除外,這種漏洞太常見了,幾乎每種測(cè)試技術(shù)都能發(fā)現(xiàn)。例如,靜態(tài)分析就經(jīng)常能找出CRLF(回車換行符)注入、信息泄露和加密問(wèn)題,而動(dòng)態(tài)分析通常會(huì)發(fā)現(xiàn)服務(wù)器配置、不安全依賴和信息泄露問(wèn)題。軟件組成分析(SCA)最常找到的問(wèn)題是輸入驗(yàn)證不足、信息泄露和封裝問(wèn)題。

每種編程語(yǔ)言都有其獨(dú)特的漏洞傾向。Java應(yīng)用往往存在CRLF注入漏洞,而Python程序最常見的缺陷與加密問(wèn)題有關(guān),C++的主要問(wèn)題涉及錯(cuò)誤處理。

軟件組成分析發(fā)現(xiàn)的漏洞往往需要較長(zhǎng)時(shí)間才能修復(fù),這可能是因?yàn)樾迯?fù)必須從項(xiàng)目維護(hù)人員流向開發(fā)人員。Veracode的報(bào)告指出,對(duì)于動(dòng)態(tài)分析、靜態(tài)分析和SCA這三種技術(shù)所發(fā)現(xiàn)的漏洞,修復(fù)半數(shù)漏洞所需要的時(shí)間分別為143天、290天和397天。不過(guò),SCA所發(fā)現(xiàn)漏洞的響應(yīng)時(shí)間實(shí)際上已經(jīng)大幅縮短了——2017年時(shí)修復(fù)半數(shù)此類漏洞需花費(fèi)三年多的時(shí)間。

Veracode表示:“既然我們都知道,使用多種工具執(zhí)行多次掃描可以縮短修復(fù)時(shí)間和減少安全債務(wù),這種轉(zhuǎn)變只能被視為有利于應(yīng)用安全的未來(lái)。歷史的鐘擺是否會(huì)回到單體應(yīng)用和瀑布式開發(fā)還有待觀察,但現(xiàn)在看來(lái)似乎不太可能?!?

至于開源軟件庫(kù),Veracode發(fā)現(xiàn),最流行的軟件庫(kù)在過(guò)去五年里一直沒(méi)什么變化。例如,超過(guò)97%的Java應(yīng)用代碼來(lái)自于開源庫(kù)。不過(guò),過(guò)去五年來(lái),存在缺陷的軟件庫(kù)占比有所下降,Java、JavaScript和Python都見證了脆弱庫(kù)的大幅減少。

報(bào)告指出:“值得警惕的是,開發(fā)人員可能會(huì)堅(jiān)持使用經(jīng)驗(yàn)證的庫(kù),而不去嘗試重構(gòu)自己的代碼庫(kù)來(lái)引入新潮熱門功能。如果代碼庫(kù)沒(méi)有缺陷,更新就會(huì)很慢,而有缺陷的時(shí)候更新就相對(duì)較快。只要開源軟件開發(fā)人員持續(xù)修復(fù)安全漏洞,開發(fā)人員就會(huì)繼續(xù)使用這些庫(kù)?!?

Veracode《2022年軟件安全狀況》報(bào)告:

https://www.veracode.com/state-of-software-security-report


 
 

上一篇:2022年2月11日聚銘安全速遞

下一篇:線上交友 64.6%受訪未婚青年最擔(dān)心用戶數(shù)據(jù)和隱私泄露