信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

所謂軟件安全債務(wù)，通常指修復(fù)時(shí)間延誤超過(guò)一年的漏洞，根據(jù)Veracode最新發(fā)布的軟件安全報(bào)告，42%的應(yīng)用程序和71%的組織中普遍存在軟件安全債務(wù)，而AI生成代碼的激增將導(dǎo)致安全債務(wù)問(wèn)題惡化并對(duì)軟件供應(yīng)鏈構(gòu)成重大風(fēng)險(xiǎn)。

更令人擔(dān)憂的是，46%的組織持續(xù)存在高危漏洞，這些漏洞構(gòu)成“關(guān)鍵”安全債務(wù)，使企業(yè)在機(jī)密性、完整性和可用性方面面臨嚴(yán)重風(fēng)險(xiǎn)。

報(bào)告稱，63%的應(yīng)用程序存在第一方代碼漏洞，而70%包含通過(guò)第三方庫(kù)引入的第三方代碼漏洞。這凸顯了在整個(gè)軟件開(kāi)發(fā)生命周期中測(cè)試這兩種類型的代碼的重要性。修復(fù)率也因漏洞類型而異-修復(fù)第三方漏洞的時(shí)間要長(zhǎng)50%，已知漏洞中只有一半在11個(gè)月后修復(fù)，而第一方漏洞則為7個(gè)月。

留神AI“屎山”

然而，也有好消息：應(yīng)用程序中的高危漏洞數(shù)量自2016年以來(lái)減少了一半，這表明軟件安全實(shí)踐取得了進(jìn)步，并且修復(fù)速度對(duì)關(guān)鍵安全債務(wù)產(chǎn)生了重大影響。

報(bào)告顯示，修復(fù)漏洞最快的開(kāi)發(fā)團(tuán)隊(duì)將關(guān)鍵安全債務(wù)減少了75%——應(yīng)用程序高危漏洞從22.4%降低到略高于5%。此外，這些快速行動(dòng)的團(tuán)隊(duì)讓關(guān)鍵安全債務(wù)出現(xiàn)在其應(yīng)用程序中的可能性要低四倍。

Veracode首席研究官Chris Eng說(shuō)：“雖然安全狀況有所改善，但這些發(fā)現(xiàn)提醒組織必須正面解決其安全債務(wù)問(wèn)題。通過(guò)優(yōu)先考慮漏洞修復(fù)、關(guān)注第三方代碼安全以及采用高效的開(kāi)發(fā)實(shí)踐，組織可以顯著降低其安全債務(wù)并全面提升軟件整體安全狀態(tài)。”

在人工智能迅速改變軟件開(kāi)發(fā)的時(shí)代，該報(bào)告強(qiáng)調(diào)了一個(gè)令人不安的趨勢(shì)。Eng表示：“盡管人工智能為軟件開(kāi)發(fā)帶來(lái)了速度和效率，但它并不一定會(huì)產(chǎn)生安全的代碼，GitHubCopilot生成的代碼中有36%存在安全漏洞。”

這種AI生成的不安全代碼激增對(duì)組織和軟件供應(yīng)鏈構(gòu)成了重大風(fēng)險(xiǎn)，導(dǎo)致隨著時(shí)間的推移安全債務(wù)不斷累積。

AI有望打破“安全債”困局

該研究還發(fā)現(xiàn)，企業(yè)安全債務(wù)高企的主要原因是開(kāi)發(fā)團(tuán)隊(duì)的修復(fù)能力有限，只有64%的應(yīng)用程序團(tuán)隊(duì)具有消除關(guān)鍵安全債務(wù)的修復(fù)能力。

事實(shí)上，只有20%的應(yīng)用程序平均每月修復(fù)率超過(guò)10%的安全漏洞。這表明，即使團(tuán)隊(duì)的修復(fù)能力足夠，他們也不會(huì)優(yōu)先考慮關(guān)鍵漏洞。

盡管如此，應(yīng)用安全取得的進(jìn)步還是令人欣慰的。所有漏洞中只有3%屬于高風(fēng)險(xiǎn)漏洞。開(kāi)發(fā)團(tuán)隊(duì)只需優(yōu)先考慮這3%的漏洞，就可以事半功倍地大幅降低風(fēng)險(xiǎn)。

Eng指出：“人工智能有望幫助企業(yè)擺脫沉重的軟件安全債務(wù)問(wèn)題，使組織能夠提高漏洞修復(fù)效率，更輕松地解決長(zhǎng)期積累的安全債務(wù)以及新出現(xiàn)的漏洞。”