11个行业中多数Web应用程序始终处于脆弱状态

203 阅读4分钟

根据White Hat Security 6月22日发布的一份报告,公共事业部门2/3的应用程序和公共管理组织63%的应用程序中都存在严重的漏洞,这些漏洞让应用软件每天都面临遭到网络攻击的风险。

公共基础设施漏洞数排名前三 平均修复时间288天

总的来说,去年有11个行业每天至少有一半的应用程序存在严重漏洞。根据该公司6月份AppSec Stats Flash月度报告,排名前三的行业——公共事业、公共管理和专业服务,这些漏洞平均至少需要288天来修复。在过去3个月,修复关键漏洞所需平均时间为205天,高于1月份报告中的194天,也明显高于2020全年的148天。

White Hat Security战略副总裁Setu Kulkarni表示,漏洞之所以修理缓慢,是因为在很多情况下,遗留在应用程序中的问题没有一个合适的开发团队来处理。因为应用程序开发时间一般较长,当发现漏洞时曾经的开发团队很可能已不复存在,并且即使是自己编写的代码在一段时间以后看起来也会存在不清楚的地方,更别提修改别人代码的困难程度。

White Hat表示,对新应用程序和以前没测试过的遗留应用程序进行测试,在一定程度上造成这三个行业漏洞增加。频繁出现的关键基础设施攻击及越来越多的使用远程办公,使得该领域的公司开始大规模测试软件,这也是该领域漏洞数排名上升的原因。同时也说明该行业在逐渐提高整体安全意识,毕竟有些应用软件在部署之前可能只测试过一次。在主要行业部门中,经过测试的应用程序数量增加了约10%,每个站点平均发现2个漏洞。

金融和保险行业利用DevsecOps加快漏洞修复

金融和保险公司——一个过去经常成为目标的行业——表现要好得多,但也并非出类拔萃。在长期曝光漏洞的行业列表中排名第13位。43%的应用程序始终易受攻击,相比之下,只有29%的应用程序在30天或更短的时间内容易受到攻击。

但这一行业明显优势在于,当企业发现一个暴露的漏洞或弱点时,能在30天内修复或减轻它们,比其他所有行业的速度都要快得多。他们采用敏捷开发和DevsecOps等前沿技术流程,同时将安全工具如静态代码检测工具(SAST)、动态应用安全测试(DAST)等成熟的应用安全技术加应用在开发流程。

开源代码漏洞成隐患 开发人员安全意识不足

尽管这次报告没涉及开发人员的源代码是否会由开源组件引入漏洞,但安全公司的一份报告显示,79%的开发人员将开源代码引入应用程序后并未对其进行更新。但定期更新软件及漏洞补丁至关重要,因为92%的开源漏洞通过更新进行修复。开源代码已成为企业应用必不可缺的一部分,但开发人员对开源代码中的漏洞隐患一直不够重视,随着开源代码漏洞逐渐增加并武器化,建议在开发过程中引入开源代码扫描工具SCA,协助高效查找代码漏洞。

另一个关键问题是开发人员会继续犯同样的错误。在报告中排名前五的漏洞并没有随着时间推移而改变,最常见的漏洞为信息泄漏漏洞、会话过期不足、传输层保护不足、跨站脚本攻击和内容欺骗漏洞。

软件安全的根基在于人员对安全的重视,包括并不限于管理者和开发者。只有将完备的安全管理措施具体落实并执行,才能让其发挥最大的作用。因此在部署和完善软件安全开发周期的同时,也要注重对人员的安全教育及培训,让安全意识和理念贯穿整个开发流程中。

参读链接:

www.woocoom.com/b021.html?i…

www.darkreading.com/application…