关键缺陷减少不等于安全无忧,软件安全债务仍是重中之重!

Anna艳娜2024-02-29 17:42:36


据Veracode的研究显示,在过去几年里,尽管应用程序中高度严重的安全漏洞的流行率显著下降,但仍有众多组织存在着严重的安全债务问题。

该研究基于Veracode最近的静态应用程序安全测试(SAST),动态应用程序安全测试(DAST)和软件组件分析(SCA)扫描超过100万个应用程序收集的数据。


"人工智能生成的代码广泛传播产生了大量不安全代码,这可能会产生安全债务,"Veracode的首席研究官Chris Eng表示。"考虑到我们发现的安全债务的严重性,有必要考虑使用人工智能辅助的修复工具来偿还债务,而不是需要重新分配开发团队或扩大其规模。"


这项研究还指出,在整个软件开发生命周期(SDLC)的过程中,应重视对本地和第三方代码的测试,以发现其中存在的大量缺陷。


01

减少关键缺陷,而不是淘汰


研究发现,截止至2023年,应用程序中严重缺陷的流行率已经降至2016年的一半,仅为37.9%。尽管只有约3.2%的缺陷被认为是极其严重的(CVSS评分达到9或更高),但几乎占所有缺陷的16%都被认为“极有可能”被恶意攻击者利用。


这意味着在2023年发现的所有漏洞中,仅有不到百分之一(0.7%)是非常重要的,并且具有高度的可利用性。


总的来说,使用Veracode的SAST、DAST以及SCA工具发现,在所有被扫描的应用程序中,有80%的活动应用程序存在未解决的安全漏洞,而在只针对开发阶段的程序进行SAST扫描的情况下,这一比例下降到了73%。


根据Veracode的研究,在第三方开源组件和本地代码中发现的缺陷比例基本相当。实际上,大约有63.4%的应用程序在本地代码中存在缺陷,而在第三方代码中则有70.2%的应用程序存在缺陷。这种情况与人工智能技术的广泛应用有关,因此我们需要对软件供应链的这两个来源进行深入扫描。

另外,通常情况下,一个典型的应用程序中每1MB的代码就会有42个缺陷。其中,跨站脚本、注入、路径遍历以及易受攻击和过时的组件是最常见的缺陷,它们的强度(每个应用程序的平均发现)和数量(应用程序的百分比)都非常高。


02

安全债务堆积如山


软件安全债务,在研究中被定义为持续一年以上未得到修复的缺陷,这种缺陷存在于所有应用程序中,占总数的42%。如果把不足一年的应用程序也考虑进去,这个比例会下降到23%,也就是说,有57%的应用程序存在缺陷,但是它们还没有形成债务。


在考虑关键安全债务(未修复的关键缺陷)时,情况有所不同。研究显示,“绝大多数组织(71%)在某种程度上有安全债务”。此外,“将近一半的公司(46%)存在严重的持续性缺陷,我们将其归类为关键安全债务。”


研究表明,有安全债务的组织中,有四分之一在其在不到17%的应用程序中有安全债务,有四分之一的组织在超过67%的应用程序中有债务。平均来看,约一半的安全缺陷(47%)源于安全债务。


为了解决软件安全债务问题,该研究提出了几项建议,其中包括将安全性融入到软件开发生命周期中,持续进行修复,优先处理重要安全债务,提升开发人员的安全能力,并了解自己语言所涉及的安全债务情况。

软件软件安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异,数字化转型进程逐步推进,软件已经成为日常生产生活必备要素之一,渗透到各个行业和领域。
软件供应链安全风险解析 随着互联网的迅猛发展,软件供应链安全事件近年来频繁发生。软件供应链安全具有威胁对象种类多、极端隐蔽、涉及纬度广、攻击成本低回报高、检测困难等特性。软件供应链中的任意环节遭受攻击,都会引起连锁反应,甚至威胁到国家网络安全。
由中国信通院指导、悬镜安全主办的中国首届DevSecOps敏捷安全大会(DSO 2021)现场,《软件供应链安全白皮书(2021)》正式发布。
安全要求》给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求;适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理,可为第三方机构开展软件供应链安全测试和评估提供依据,也可为主管监管部门提供参考。
随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异,数字化转型进程逐步推进,软件已经成为日常生产生活必备要素之一,渗透到各个行业和领域。容器、中间件、微服务等技术的演进推动软件行业快速发展,同时带来软件设计开发复杂度不断提升,软件供应链也愈发复杂,全链路安全防护难度不断加大。近年来,软件供应链安全事件频发,对于用户隐私、财产安全乃至国家安全造成重大威胁,自动化安全工具是进行软件供应链安全
随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件行业快速发展。但同时,软件供应链也越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,针对软件供应链薄弱环节的网络攻击随之增加,软件供应链成为影响软件安全的关键因素之一。近年来,全球针对软件供应链的安全事件频发,影响巨大,软件供应链安全已然成为一个全球性问题。全面、高效地保障软件供应链的安全对于我国软件行业发展、数字化进程推进具有重
随着软件技术的飞速发展和软件开发技术的不断进步,软件开发和集成过程中常会应用第三方软件产品或开源组件,其供应链中软件安全性和可靠性逐步成为软件产业面临的重要安全问题。近年来大量涌现的软件供应链安全事件则具有不同的特点,攻击软件供应链相较于攻击软件本身,难度和成本显著降低,影响范围一般显著扩大,并且由于攻击发生后被供应链上的多次传递所掩盖,难以被现有的计算机系统安全防范措施识别和处理。
针对软件供应链的网络攻击,常常利用系统固有安全漏洞,或者预置的软件后门开展攻击活动,并通过软件供应链形成的网链结构将攻击效果向下游传播给供应链中所有参与者。近年来,软件供应链网络攻击事件频发,影响越来越大。据 Accenture 公司调查,2016 年 60% 以上的网络攻击是供应链攻击。装备软件供应链安全事关国家安全、军队安全,一旦出现安全风险将会给国家和军队带来重大安全挑战,产生的后果不堪设想。
尤其是SolarWinds 事件,爆发之迅猛,波及面之大,社会影响之深,潜在威胁之严重,令世界为之震惊,堪称过去近十年来最重大的网络安全事件。据美国司法部披露,黑客已向其内部邮件系统渗透,受影响人数多达司法部员工邮件账户总数的三分之一,其第二阶段重大受害机构之一。
Anna艳娜
暂无描述