-
-
[旧帖]
[转帖]微博控注意!大多数第三方软件并不安全
0.00雪花
-
发表于:
2011-11-21 10:58
1418
-
[旧帖] [转帖]微博控注意!大多数第三方软件并不安全
0.00雪花
根据Veracode最新发布的报告显示,在超过80%的第三方软件无法通过Veracode的安全测试。Veracode发现,在所有应用程序中,有57%存在安全漏洞。超过80%的内部开发软件和商业应用程序都不符合OWASP的web应用程序应该避免的十大重要错误。56%与财务相关的应用程序未能通过首次测试,而跨站脚本(XSS)仍然是排名第一的漏洞:有一半的应用程序中发现了这个漏洞。
超过一半的应用程序在第一次测试中无法达到可接受的安全水平,所以在软件安全领域还需要作出更大努力。不过软件安全性的提高取决于如何衡量。BSIMM公司的创始人之一兼Cigital首席信息官Gary McGraw表示,BSIMM已经出现了明显的改善。“Veracode是对来自不同公司群的代码片段进行分析,我们的结果显示在这些努力改善软件安全的公司中我们确实有了明显改进”McGraw表示。即便如此,他表示,Veracode发现这么多存在漏洞的应用程序确实很令人担忧。
著名安全研究人员Dan Kaminsky表示,一直存在一个错误的观念,即所有软件在被证明存在问题之前都是安全的。“大多数情况下,所有的代码都是有问题的,直到产生严重后果才会被发现,”Kaminsky表示,“这些后果只有当用户被攻击,或者审计中被发现,才会发现代码的问题。”
在最新报告中, Veracode仔细分析了第三方应用程序:第三方代码占据了该公司测试的所有应用程序的30%,Veracode估计这些代码占所有关键应用程序的20%到37%。“在企业应用程序中,第三方代码应用十分广泛,”Veracode公司的研究高级主管Chris Eng表示,“我们将所有标记为企业应用程序当作是完全内部开发的,但是当你仔细看的时候,会发现30%到70%的内部程序都包含一些第三方代码。我们知道有很多代码被重复使用,根本没有应用程序是从零开始开发的。”
在Veracode报告中也有好消息,现在开发人员修复漏洞更加迅速了。修复是改善软件安全状况的很好的指标。现在企业都会在12到19天内修复漏洞,而在之前的报告中,则是36到82天内修复漏洞。现在平均时间为16天因为现在企业中有更好的工具、培训和修复压力。
Cigital公司的McGraw表示,大型软件供应商(例如微软、谷歌和EMC)正在为编写更安全的代码制定标准,“在某些情况下,我们真的还有很长的路要走。”
为此,Veracode开发了多种网络应用程序安全测试工具,在缩短您开发的周期的同时,帮助您的企业处于更加安全的网络环境。Veracode安全测试工具:
Veracode静态分析
Veracode动态分析
Veracode DynamicMP动态多处理器
Veracode网络安全电子教程(eLearning)
Veracode应用程序智能分析
Veracode网络安全策略管理器
Veracode APIs应用程序接口测试工具
Veracode手机软件测试
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!