组织通过关注新缺陷来建立“安全债务”

根据一份新的报告，专注于解决新问题而忽略了老化缺陷会导致安全债务增加。

这项研究-来自安全测试专家Veracode的第十份此类报告-分析了全球2300多家公司的85,000多个应用程序，发现修复漏洞与改善功能一样，已成为开发过程的一部分。

“在过去的10年中，我们已经看到了应用程序安全性总体状况的巨大进步。我们已经从讨论AppSec为何重要的问题变成了就解决问题的最佳方式进行对话。这种变化反映了数据显示，公司修复的漏洞所占比例比以往任何时候都高。” Veracode联合创始人兼首席技术官Chris Wysopal说。 “但是，该报告还向我们显示了很多改进的空间，特别是在涉及增加担保债务的问题上。像信用卡债务一样，即使经常性地结转一小笔余额也可以很快使您陷入困境。 。”

在报告的其他发现中，有83％的应用程序在初始扫描中至少存在一个缺陷，其中最常见的问题是信息泄漏（64％），密码问题（62％）和CRLF注入（61％）。

尽管漏洞的流行率一直很高，但是开发团队正在努力追赶这些漏洞-70％的人要么减少第一次扫描后的漏洞数量，要么在最终扫描时不引入任何其他漏洞。今年初次扫描中OWASP Top 10合规性的通过率也扭转了三年下跌的趋势，上涨到32％，这表明安全的开发培训正在帮助减少缺陷的引入。

但是该报告还显示，缺陷存在的时间越长，纠正缺陷的机会就越少，这增加了组织的安全债务。随着时间的流逝，大约有一半的应用程序正在上涨债务，四分之一的应用程序使债务减少，而另一季度的应用程序甚至达到收支平衡。

欧洲，中东和非洲地区的高严重性漏洞最少（32％），其次是美洲（37％）和亚太地区（40％），各地区之间也存在差异。

您可以在完整报告中找到更多信息，该报告可从Veracode网站获得。

图片来源：Den Rise / Shutterstock