關(guān)鍵缺陷減少不等于安全無(wú)憂(yōu),軟件安全債務(wù)仍是重中之重!

陳發(fā)明
軟件安全債務(wù),在研究中被定義為持續(xù)一年以上未得到修復(fù)的缺陷,這種缺陷存在于所有應(yīng)用程序中,占總數(shù)的42%。如果把不足一年的應(yīng)用程序也考慮進(jìn)去,這個(gè)比例會(huì)下降到23%,也就是說(shuō),有57%的應(yīng)用程序存在缺陷,但是它們還沒(méi)有形成債務(wù)。

640 (2).png

本文來(lái)自微信公眾號(hào)“數(shù)世咨詢(xún)”,作者/陳發(fā)明。

據(jù)Veracode的研究顯示,在過(guò)去幾年里,盡管應(yīng)用程序中高度嚴(yán)重的安全漏洞的流行率顯著下降,但仍有眾多組織存在著嚴(yán)重的安全債務(wù)問(wèn)題。

該研究基于Veracode最近的靜態(tài)應(yīng)用程序安全測(cè)試(SAST),動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)和軟件組件分析(SCA)掃描超過(guò)100萬(wàn)個(gè)應(yīng)用程序收集的數(shù)據(jù)。

"人工智能生成的代碼廣泛傳播產(chǎn)生了大量不安全代碼,這可能會(huì)產(chǎn)生安全債務(wù),"Veracode的首席研究官Chris Eng表示。"考慮到我們發(fā)現(xiàn)的安全債務(wù)的嚴(yán)重性,有必要考慮使用人工智能輔助的修復(fù)工具來(lái)償還債務(wù),而不是需要重新分配開(kāi)發(fā)團(tuán)隊(duì)或擴(kuò)大其規(guī)模。"

這項(xiàng)研究還指出,在整個(gè)軟件開(kāi)發(fā)生命周期(SDLC)的過(guò)程中,應(yīng)重視對(duì)本地和第三方代碼的測(cè)試,以發(fā)現(xiàn)其中存在的大量缺陷。

01

減少關(guān)鍵缺陷,而不是淘汰

研究發(fā)現(xiàn),截止至2023年,應(yīng)用程序中嚴(yán)重缺陷的流行率已經(jīng)降至2016年的一半,僅為37.9%。盡管只有約3.2%的缺陷被認(rèn)為是極其嚴(yán)重的(CVSS評(píng)分達(dá)到9或更高),但幾乎占所有缺陷的16%都被認(rèn)為“極有可能”被惡意攻擊者利用。

這意味著在2023年發(fā)現(xiàn)的所有漏洞中,僅有不到百分之一(0.7%)是非常重要的,并且具有高度的可利用性。

總的來(lái)說(shuō),使用Veracode的SAST、DAST以及SCA工具發(fā)現(xiàn),在所有被掃描的應(yīng)用程序中,有80%的活動(dòng)應(yīng)用程序存在未解決的安全漏洞,而在只針對(duì)開(kāi)發(fā)階段的程序進(jìn)行SAST掃描的情況下,這一比例下降到了73%。

根據(jù)Veracode的研究,在第三方開(kāi)源組件和本地代碼中發(fā)現(xiàn)的缺陷比例基本相當(dāng)。實(shí)際上,大約有63.4%的應(yīng)用程序在本地代碼中存在缺陷,而在第三方代碼中則有70.2%的應(yīng)用程序存在缺陷。這種情況與人工智能技術(shù)的廣泛應(yīng)用有關(guān),因此我們需要對(duì)軟件供應(yīng)鏈的這兩個(gè)來(lái)源進(jìn)行深入掃描。

另外,通常情況下,一個(gè)典型的應(yīng)用程序中每1MB的代碼就會(huì)有42個(gè)缺陷。其中,跨站腳本、注入、路徑遍歷以及易受攻擊和過(guò)時(shí)的組件是最常見(jiàn)的缺陷,它們的強(qiáng)度(每個(gè)應(yīng)用程序的平均發(fā)現(xiàn))和數(shù)量(應(yīng)用程序的百分比)都非常高。

02

安全債務(wù)堆積如山

軟件安全債務(wù),在研究中被定義為持續(xù)一年以上未得到修復(fù)的缺陷,這種缺陷存在于所有應(yīng)用程序中,占總數(shù)的42%。如果把不足一年的應(yīng)用程序也考慮進(jìn)去,這個(gè)比例會(huì)下降到23%,也就是說(shuō),有57%的應(yīng)用程序存在缺陷,但是它們還沒(méi)有形成債務(wù)。

在考慮關(guān)鍵安全債務(wù)(未修復(fù)的關(guān)鍵缺陷)時(shí),情況有所不同。研究顯示,“絕大多數(shù)組織(71%)在某種程度上有安全債務(wù)”。此外,“將近一半的公司(46%)存在嚴(yán)重的持續(xù)性缺陷,我們將其歸類(lèi)為關(guān)鍵安全債務(wù)。”

研究表明,有安全債務(wù)的組織中,有四分之一在其在不到17%的應(yīng)用程序中有安全債務(wù),有四分之一的組織在超過(guò)67%的應(yīng)用程序中有債務(wù)。平均來(lái)看,約一半的安全缺陷(47%)源于安全債務(wù)。

為了解決軟件安全債務(wù)問(wèn)題,該研究提出了幾項(xiàng)建議,其中包括將安全性融入到軟件開(kāi)發(fā)生命周期中,持續(xù)進(jìn)行修復(fù),優(yōu)先處理重要安全債務(wù),提升開(kāi)發(fā)人員的安全能力,并了解自己語(yǔ)言所涉及的安全債務(wù)情況。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀(guān)點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門(mén)