精益求精的代码却被带漏洞组件毁于一旦

第三方组件可不总是你想象的那样,即省时省力又省成本的利器

应用安全公司Veracode一项新研究显示,几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。

Veracode报告公司企业所写代码的逐年改进情况,某种程度上,是对不断增长的开源和第三方组件使用风险的积极发现。一个带关键漏洞的流行组件,可扩散至80000多个其他软件组件中,然后又用到可能数百万个软件项目的开发过程中。

软件开发中开源组件的广泛使用,正在公司企业间制造不受控的系统性风险。

Veracode报告还凸显了软件开发中的进步和依然留存的困难。3/5(60%)的应用程序在***轮扫描中就不满足安全策略。

安全软件开发的***实践正在兴起,但仍未流行到能在整个软件开发市场上举足轻重的程度。

一个积极的改进,来自于更前瞻性的公司给予开发人员更多权力进行安全改善。比如说,如果开发人员在质量保障测试之前使用沙箱技术扫描App,修复率就会倍增。

开发人员培训甚至能形成更好的效果。修复指导和在线学习之类的***实践,可以极大改善漏洞修复率,某些情况下,可达原修复率表现的6倍。

开发运维实践正植根于设立了成熟应用安全方案的产业***之间。有些应用每天都被扫描数遍。每应用平均安全测试率是7次,有些应用被扫描600-700次,将安全融合进开发运维过程,可以为企业在不减缓软件开发的情况下减少风险贡献良多。

尽管某些方面有所改善,Web应用依然脆弱:经Veracode工具测试的Web应用中,超过半数受错误配置的安全通信或其他安全防御缺陷的影响。

Veracode的第7期《软件安全状态报告》,使用Veracode的代码审计工具,在300000次评估中,对去过1年半里的数十亿行代码,进行了代码级分析,给出了各项评估标准和数据。

当前标题:精益求精的代码却被带漏洞组件毁于一旦
标题URL:http://www.shufengxianlan.com/qtweb/news2/375152.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联