微博控小心！大多数第三方软件并不安全

　　企业软件开发人员由于其开发的应用程序存在安全问题而留下坏名声，但是最新研究数据显示很多软件供应商的产品比企业内部开发的软件更加不安全。

 

　　根据Veracode最新发布的报告显示，在超过80%的第三方软件无法通过Veracode的安全测试。并且Veracode发现，在所有应用程序中，有57%存在安全漏洞。超过80%的内部开发软件和商业应用程序都不符合OWASP的web应用程序应该避免的十大重要错误。

 

　　

 

注意微博 多数第三方软件未过安全测试

 

 

　　IT168网络安全频道官方微博

 

　　我们仍然认为，在软件安全领域还需要作出更大努力。超过一般的应用程序在第一次测试中无法达到可接受的安全水平，”Veracode产品副总裁Sam King表示。现在的软件安全状况报告是参照Veracode三月份发布的报告，在三月份的报告中发现，大部分软件应用程序仍然漏洞百出，58%的应用程序无法通过首次测试。

 

　　也就是说，软件的安全状况并没有得到改善，King表示。

 

　　不过软件安全性的提高取决于如何衡量。BSIMM公司的创始人之一兼Cigital首席信息官Gary McGraw表示，BSIMM已经出现了明显的改善。“Veracode是对来自不同公司群的代码片段进行分析，我们的结果显示在这些努力改善软件安全的公司中我们确实有了明显改进，”McGraw表示。

 

　　即便如此，他表示，Veracode发现这么多存在漏洞的应用程序确实很令人担忧。

 

　　著名安全研究人员Dan Kaminsky表示，一直存在一个错误的观念，即所有软件在被证明存在问题之前都是安全的。

 

　　“这并不是事实，大多数情况下，所有的代码都是有问题的，直到产生严重后果才会被发现，”Kaminsky表示，“这些后果只有当用户被攻击，或者审计中被发现，才会发现代码的问题。”

 

　　在最新报告中，Veracode仔细分析了第三方应用程序：第三方代码占据了该公司测试的所有应用程序的30%，Veracode估计这些代码占所有关键应用程序的20%到37%。“在企业应用程序中，第三方代码应用十分广泛，”Veracode公司的研究高级主管Chris Eng表示，“我们将所有标记为企业应用程序当作是完全内部开发的，但是当你仔细看的时候，会发现30%到70%的内部程序都包含一些第三方代码。我们知道有很多代码被重复使用，根本没有应用程序是从零开始开发的。”

 

　　Eng表示，有些Veracode测试的第三方应用程序之前从来没有被分析过，很多都来自小型安全公司，“我们看到很多新应用程序不断出现，”Eng表示，他还表示，Veracode公司的数据是基于2900个应用程序的分析，而之前的报告则是1500个应用程序。

 

　　Veracode公司的King表示，在某些情况下，企业使用较旧版本的第三方代码，“在某些情况下，他们会对这些应用程序的较旧版本进行风险测试，这也使对转移到最新版本第三方软件的调整联系。”

 

　　Cigital公司的McGraw表示，大型软件供应商(例如微软、谷歌和EMC)正在为编写更安全的代码制定标准，“在某些情况下，我们真的还有很长的路要走，Adobe仍然受到重创。”

 

　　而开源软件在报告中交出了不错的成绩：42%的开源软件达到测试可接受的安全水平，而内部开发应用程序为46%，商业软件为35%。“开源的表现让人出乎意料，”研究人员Kaminsky表示，“当越来越多的用户使用特定的数据包，很可能出现审计问题而追溯到最初开发人员。”

 

　　在Veracode报告中也有好消息，现在开发人员修复漏洞更加迅速了。修复是改善软件安全状况的很好的指标。

 

　　现在企业都会在12到19天内修复漏洞，而在之前的报告中，则是36到82天内修复漏洞。现在平均时间为16天，为什么会有这么大的改善?“现在企业中有更好的工具、培训和修复压力，”她表示。

 

　　其他调查结果：该报告的所有评估中有60%是针对基于云和web的应用程序。而在之前的报告中有40%的应用程序是非基于web的应用程序，这次是45%。“这是因为用户开始将注意力从只是web应用程序转移到后端应用程序，”King表示。

 

　　56%与财务相关的应用程序未能通过首次测试，而跨站脚本(XSS)仍然是排名第一的漏洞：有一半的应用程序中发现了这个漏洞。超过40%的应用程序至少有一个加密问题，虽然这些漏洞(未加密或者不适当加密)只占所有漏洞的6%。