根据NTT Application Security研究人员基于大约1500万次扫描，其中大部分是截至2021年客户面向互联网的web应用程序。得出数据显示，去年，组织平均花费6个月(193.1天)来修复一个关键的安全漏洞，几乎与2020年(194.8天)花费的时间相同。在同一时期，组织修复的漏洞占总漏洞的百分比平均也更少。

数据显示，关键漏洞的平均修复率从从2020年的54%下降到2021年的47%。换句话说，去年有超过一半(53%)的已知关键缺陷未得到修复。NTT的研究显示，不太严重的缺陷修复率甚至更低。在2021年，组织在其环境中平均只修复了36%的高严重缺陷和33%的中等严重缺陷。

在研究的所有站点中，有一半的网站在2021年至少存在一个严重的可利用漏洞。在一些行业中，存在这种风险的网站比例更高。零售行业是受关注的行业之一，有59%的网站在全年中至少有一个严重的漏洞;在公用事业部门，有63%的网站因为至少有一个可利用的漏洞而暴露在攻击之下;在专业、科学和技术服务部门，这一数字甚至更高，达65%。

总的来说，应用程序漏洞修复率和去年组织平均修复漏洞所花费的时间仍远未达到安全团队试图实现的预期目标。

组织难以改进应用程序安全性的关键指标，如修复时间、修复率和整体暴露窗口有多种原因。但是一个共同的主题是软件开发团队持续关注于优先考虑新应用程序的功能性能，而非安全性。NTT安全主管Jones称。

漏洞积压

Pathlock总裁指出了另一个问题：应用程序代码中漏洞发现的持续增长。

他表示:“随着黑客变得更加活跃，越来越多的关键系统和网站转向公共网络，漏洞的数量将继续增加。”

NTT的数据还表明，公众和媒体的关注可能至少在一定程度上影响了去年的漏洞修复决策。例如，组织在2021年平均需要193.1天来修复关键缺陷，尽管与2020年的194.8天相比并没有好多少，但仍快了1.7天。与此同时，去年其他不太严重的缺陷的修复时间率却呈现出相反的趋势。

与2020年相比，组织在2021年修复严重程度高、中等和低的缺陷所需的时间平均更长。

Jones称，当应用程序安全团队更多地关注一类缺陷而不是其他缺陷时，就会出现这些结果。“数据表明，修复关键漏洞的时间减少通常与修复相对不太严重漏洞所需的时间增加有关，”他说。

Web应用程序环境中最常见的漏洞类包括数据泄露、传输层保护不足、跨站点脚本、跨站点伪造、内容欺骗和授权不足。

随着对软件安全性关注度的提高，目前企业在软件开发生命周期中多会进行一定的安全性检测，如查找代码安全的静态应用安全测试和开源组件分析，从软件开发源头上降低软件安全风险。

文章来源：

https://www.darkreading.com/application-security/key-application-security-metrics-show-little-sign-of-improvement

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！