Veracode的基于云的软件测试工具扫描的大多数应用程序都
Veracode在半年度软件安全报告中说,开发人员在构建应用程序时需要接受有关安全性的培训,并且安全性测试必须成为开发生命周期的一部分。Veracode于12月7日表示,在Veracode的第四份“软件安全状态”报告中检查的大约10,000个应用程序中,超过80%的应用程序首次尝试均未通过安全性测试,而第一次尝试时,只有16%的应用程序获得了安全级别及格。在4月份发布的上一份报告中,第一次尝试通过的比例为42%。
急剧下降的原因很可能是通过安全测试的“更严格标准”的结果,因为Veracode为跨站点脚本和SQL注入漏洞制定了“零容忍策略”。由于这两种漏洞很容易被攻击者利用,因此被认为是“低挂的果实”,这两种类型的漏洞是今年早些时候由SANS Institute确定的25大Web漏洞之一。恶意攻击者可以通过SQL注入和XSS攻击来访问客户数据和知识产权,正如今年各种Web攻击中充分证明的那样。
“由于最近报告的大多数由攻击者利用Web应用程序或台式机软件的弱点造成的破坏,经常利用常见的XSS或SQL注入漏洞,我们决定现在应该变得更加严格,以反映威胁形势和现实。提高了应该被视为安全软件的标准。” Veracode的CISO和CTO创始人Chris Wysopal说道。
Veracode发现,经过测试的所有Web应用程序中有68%具有至少一个XSS缺陷,而32%具有SQL注入孔。
该报告还检查了政府Web应用程序对其他行业的安全质量,并发现政府应用程序中仍然存在问题。该报告称,大约有40%的政府网站在首次测试时就包含SQL注入漏洞,相比之下,金融行业公司的网站中有29%包含SQL注入漏洞,垂直软件中则有30%。由Veracode测试的政府网站中,大约有75%的网站首次进行XSS漏洞测试,而有67%的金融网站至少包含一个XSS漏洞和55%的软件行业网站。
Veracode还在报告中首次检查了Android应用程序,因为随着越来越多的员工使用个人设备访问公司资源,组织必须考虑移动安全风险。Veracode发现,移动开发人员往往会犯与企业开发人员类似的错误,并且在应用程序中实施加密时他们草率行事。Veracode发现,超过40%的未通过初始测试的Android应用程序至少有一个加密密钥实例被硬编码到应用程序中。
Veracode说:“问题是,一旦这些密钥被泄露,任何依赖于密钥保密性的安全机制就会失效。”
Veracode还发现,打开后门的远程执行代码漏洞和错误在商业软件中更为普遍。Veracode建议,购买商业软件的组织应事先明确测试这些问题。
在过去的18个月中,报告中包含的应用程序已提交到Veracode的基于云的应用程序安全性测试平台。Veracode表示,在第4卷中测试的应用程序数量是在第3卷中测试的应用程序数量的两倍以上。
Veracode说,该报告的目标之一是展示开发期间的常规测试以及花在培训开发人员上的时间如何产生更安全的代码。组织可以将安全测试集成到编码过程中,以识别对开发生命周期具有“最小影响”的基本错误。根据Veracode的说法,超过80%的最初未能通过Veracode的安全审核的应用程序被重新提交并在一周内以可接受的等级通过。