第三方组件并不总是你想象的那样,它们是省时、省力、性价比高的工具应用安全公司Veracode的一项新研究表明,几乎所有(97%)的Java应用至少包含1个具有已知漏洞的组件。Veracode关于公司编写的代码逐年改进的报告在一定程度上是对使用开源和第三方组件的风险不断增加的积极发现。一个具有严重漏洞的流行组件可以传播到80,000多个其他软件组件,然后在潜在的数百万个软件项目的开发过程中使用这些组件。在软件开发中广泛使用开源组件正在公司之间造成不受控制的系统性风险。Veracode报告还强调了软件开发的进展和仍然存在的困难。五分之三(60%)的应用程序在第一轮扫描中未能满足安全策略。安全软件开发的最佳实践不断涌现,但尚未流行到足以在整个软件开发市场中发挥重要作用的程度。积极的改进来自更具前瞻性思维的公司,它们赋予开发人员更多权力来改进安全性。例如,如果开发人员在QA测试之前对应用程序进行沙箱处理,则修复率会翻倍。开发人员培训可以创造更好的结果。补救指导和在线学习等最佳实践可以显着提高错误修复率,在某些情况下高达原始修复率性能的6倍。DevOps实践正在扎根于已建立成熟应用程序安全解决方案的行业领导者。某些应用程序每天会被扫描数次。每个应用的平均安全测试次数为7次,部分应用被扫描600-700次。将安全性集成到开发和维护过程中可以在不减慢软件开发速度的情况下为企业降低风险做出很大贡献。尽管有一些改进,Web应用程序仍然容易受到攻击:超过一半的使用Veracode工具测试的Web应用程序受到错误配置的安全通信或其他安全缺陷的影响。Veracode第七期《软件安全状态报告》,使用Veracode的代码审计工具,对过去1.5年的数十亿行代码进行了代码级的分析,30万次评估,给出了各种评估标准和数据。
