您现在的位置是:首页 > 生活 > 正文
Veracode的基于云的软件测试工具扫描的大多数应用程序都存在某种安全漏洞
发布时间:2024-01-23 17:22:16来源:
Veracode在半年度软件安全报告中说,开发人员在构建应用程序时需要接受有关安全性的培训,并且安全性测试必须成为开发生命周期的一部分。Veracode于12月7日表示,在Veracode的第四份“软件安全状态”报告中检查的大约10,000个应用程序中,超过80%的应用程序首次尝试均未通过安全性测试,而第一次尝试时,只有16%的应用程序获得了安全级别及格。在4月份发布的上一份报告中,第一次尝试通过的比例为42%。
急剧下降的原因很可能是通过安全测试的“更严格标准”的结果,因为Veracode为跨站点脚本和SQL注入漏洞制定了“零容忍策略”。由于这两种漏洞很容易被攻击者利用,因此被认为是“低挂的果实”,这两种类型的漏洞是今年早些时候由SANS Institute确定的25大Web漏洞之一。恶意攻击者可以通过SQL注入和XSS攻击来访问客户数据和知识产权,正如今年各种Web攻击中充分证明的那样。
“由于最近报告的大多数由攻击者利用Web应用程序或台式机软件的弱点造成的破坏,经常利用常见的XSS或SQL注入漏洞,我们决定现在应该变得更加严格,以反映威胁形势和现实。提高了应该被视为安全软件的标准。” Veracode的CISO和CTO创始人Chris Wysopal说道。
Veracode发现,经过测试的所有Web应用程序中有68%具有至少一个XSS缺陷,而32%具有SQL注入孔。
该报告还检查了政府Web应用程序对其他行业的安全质量,并发现政府应用程序中仍然存在问题。该报告称,大约有40%的政府网站在首次测试时就包含SQL注入漏洞,相比之下,金融行业公司的网站中有29%包含SQL注入漏洞,垂直软件中则有30%。由Veracode测试的政府网站中,大约有75%的网站首次进行XSS漏洞测试,而有67%的金融网站至少包含一个XSS漏洞和55%的软件行业网站。
Veracode还在报告中首次检查了Android应用程序,因为随着越来越多的员工使用个人设备访问公司资源,组织必须考虑移动安全风险。Veracode发现,移动开发人员往往会犯与企业开发人员类似的错误,并且在应用程序中实施加密时他们草率行事。Veracode发现,超过40%的未通过初始测试的Android应用程序至少有一个加密密钥实例被硬编码到应用程序中。
Veracode说:“问题是,一旦这些密钥被泄露,任何依赖于密钥保密性的安全机制就会失效。”
Veracode还发现,打开后门的远程执行代码漏洞和错误在商业软件中更为普遍。Veracode建议,购买商业软件的组织应事先明确测试这些问题。
在过去的18个月中,报告中包含的应用程序已提交到Veracode的基于云的应用程序安全性测试平台。Veracode表示,在第4卷中测试的应用程序数量是在第3卷中测试的应用程序数量的两倍以上。
Veracode说,该报告的目标之一是展示开发期间的常规测试以及花在培训开发人员上的时间如何产生更安全的代码。组织可以将安全测试集成到编码过程中,以识别对开发生命周期具有“最小影响”的基本错误。根据Veracode的说法,超过80%的最初未能通过Veracode的安全审核的应用程序被重新提交并在一周内以可接受的等级通过。
标签:
猜你喜欢
- Veracode的基于云的软件测试工具扫描的大多数应用程序都存在某种安全漏洞
- 其余的Android平板电脑将为剩下的市场份额而相互竞争
- 您需要访问TMobile零售商店以在eSIM上激活后付费专线
- 亚马逊的KindleFire在平板电脑中排在第二位仅次于苹果的iPad
- Android4.0冰淇淋三明治功能提供了10个升级理由
- Google更新了BigQuery分析服务以使各种规模的公司更易于使用
- Ultrabooks将在CES上大量出现这表明制造商对平板电脑以外的产品一无所知
- DearMobiPhoneManager轻松将数据迁移到新iPhone
- 我们已经在Marcus平台上筹集了550亿美元的存款
- 苹果发布iOS13.1.3并修复了更多错误
- Google宣布推出真正的无线PixelBuds耳机
- EMC的第一块PCIeNAND闪存卡将某种存储量直接存储到任何服务器中
- IBM和TulipTelecom在印度建立90万平方英尺数据中心
- 您都可以针对特定金额或苹果Card余额自动付款
- Google的新帐户创建首页是该公司迄今为止最大胆的举措
- 据报道运动捕捉公司IKinema被苹果收购
- 我们将向您展示如何在Instagram应用程序中限制用户
- DoBoxPro可以将您的iPadPro变成笔记本电脑和扩展坞
- 苹果现在仍在销售iPhone8和iPhone8Plus
- Apple在iOS 13.1中调整表情符号设计
最新文章
- Veracode的基于云的软件测试工具扫描的大多数应用程序都存在某种安全漏洞
- 其余的Android平板电脑将为剩下的市场份额而相互竞争
- 您需要访问TMobile零售商店以在eSIM上激活后付费专线
- 纳曼住宅-努努克海滩上的花园别墅
- 纽约西切尔西公寓的清新和强调的轻松
- 时尚的高山小屋 由拉扎维工作室设计
- 洛杉矶甲级写字楼销售额可能超过2018年
- 因租户骚扰而达成和解的布鲁克林房产所有者申请破产
- 零售地产价值飙升13亿美元
- Taconic向长岛市的Z NYC酒店借出3800万美元
- 皇后区的罗奇代尔合作公寓从富国银行获得了1.95亿美元的贷款
- 格雷斯通为新建成的阿斯托里亚出租大楼提供3700万美元的再融资
- 小米最近发布了Mi MIX Alpha这是一款概念手机
- 配备Wear OS的小米手表有望投入生产
- 智能手机上的按钮可能很快就成为过去
- 更新使Chrome for Android的存储容量更大也更安全
- 微软表示Android是最好的移动操作系统
- 谷歌在技术上仅在过去三年中一直在生产自己的手机
- 百思买出售Moto E6只需激活运营商即可低至50美元
- 您仍然可以在Verizon上获得免费的iPhone但是您需要快速采取行动
- Google One订户可以在购买Pixel 4以及更多产品时获得更多新优惠
- 限量版Mulliner特别款全新Bentley Continental GT
- 起亚的新款C级SUV揭幕插电式混合动力车型上市
- 奥迪Q7改款七座SUV的新驾驶室和轻度混合动力技术