根据软件测试公司Veracode的最新报告,超过四分之三的Java和.NET编写的应用程序至少存在一个OWASPTop10漏洞。OWASPTop10是根据开放Web应用程序安全项目公开共享的10个最严重的Web应用程序安全漏洞列表。Veracode对760,000个应用程序的安全分析发现,大约20%使用Java和.NET编程生态系统的应用程序至少存在一个高严重性或高严重性漏洞。每个应用程序的一个或多个安全漏洞的平均每月发生率超过27%,编写不当的应用程序和不经常扫描的应用程序可能存在更多缺陷。但有关安全流程历史较长且由训练有素的人员编写的应用程序的数据表明,开发人员引入新漏洞的可能性较小。Veracode战略产品管理副总裁TimJarrett表示,该分析强调了将安全性集成到开发管道中的重要性。另一方面,应用程序中的错误和漏洞无法快速修复。虽然开发人员和开源项目正在努力修复软件缺陷,但报告的调查结果表明,漏洞的平均半衰期以月为单位,而不是几天或几周。例如,在占所有样本大小71%的Java和.NET应用程序中,发现的漏洞中有一半以上在分别经过243天和158天后仍未完全修复。Veracode报告说,应用程序膨胀和老化也对安全性产生了重大的负面影响。平均应用程序积累了大约40%的代码,更容易出现漏洞。大约54%使用两年的应用程序存在缺陷,使用五年的应用程序有69%的缺陷率。JavaScript更安全令人惊讶的是,用JavaScript编写或使用JavaScript框架之一的应用程序不太可能受到攻击。据调查,约80%的Java和.NET应用存在漏洞,20%存在高危漏洞;而使用JavaScript的应用程序中只有56%存在漏洞,高危漏洞的比例不到10%。Veracode战略产品管理副总裁TimJarrett表示,JavaScript框架更新、更安全,并且具有开源生态系统的优势。此外,如果Java应用程序中的漏洞是第一方问题——让开发人员修复问题——在JavaScript和Node.js框架中,漏洞通常是第三方问题,因为漏洞发生在组件中该软件所依赖的。参考来源:https://www.darkreading.com/threat-intelligence/java-net-developers-frequent-vulnerabilities
