Veracode查找大多数Web应用程序失败OWASP安全检查列表
根据Veracode的报告,由流行的Web脚本语言中写入的五种应用中的五种应用中的至少一个包含行业标准安全基准中的严重风险之一。
Veracode的分析表明,86%的基于PHP的应用程序包含至少一个跨站点脚本(XSS)漏洞,56%具有至少一个SQL注入(SQLI)漏洞。
XSS和SQLI是TheOpen Web应用程序安全项目(OWASP)标识的前10名最关键的Web应用程序安全风险之一。
根据2015年软件安全报告的2015年,根据数百万个网站,调查结果提高了对数百万个网站的潜在安全漏洞。
根据代码分析公司,风险的大小由为前三个内容管理系统(CMS) - WordPress,Drupal和Joomla开发的PHP应用程序增加 - 代表CMS市场的70%以上。
这些漏洞趋势也在更广泛的WEB脚本语言中看到,其中经典ASP和ColdFusion的应用程序与诸如.NET和Java等现代语言相比,含有这些缺陷的可能性几乎是含有这些缺陷的可能性。
Veracode的基于云的平台已经评估了超过一条数量的代码,可用于可能导致大规模泄露的关键漏洞。
2015年报告捕获在过去18个月内收集的数据,从200,000多个为Veracode客户跨越一系列行业和地理位置而进行的自动评估。
随着企业转移到连续交付和其他Devops创新,压力正在安装以更快地生产更安全的软件。然而,根据SANS学院的说法,不到26%的组织曾授权,正在进行安全的编码教育计划。
通过编程语言类型组织,Veracode对2015年软件安全报告的补充旨在帮助组织申请开发计划,以及优先考虑评估和修复活动。
补充报告发现,在安全方面,语言的设计很重要。
报告指出,某些语言是从头开始设计的,以避免某些漏洞类。例如,通过删除开发人员直接分配内存,Java和.NET的需求消除了处理内存分配的几乎完全漏洞(例如缓冲区溢出)。同样,某些ASP.NET控件的默认行为避免了与跨站点脚本相关的常见问题。
补充报告发现语言的操作环境也对安全性也很重要。
某些漏洞仅在某些执行环境中相关。例如,移动环境中的一些类别泄漏是最敏锐的,它将大量的个人数据与普通的通用网络能力相结合。
补充报告的另一个关键发现是移动开发项目团队需要专注于加密。
Veracode的分析发现,87%的Android应用程序和80%的IOS应用程序包含了加密问题。该报告表示,这表明,虽然移动应用程序开发人员可能意识到加密需要保护敏感数据并因此在其应用程序中使用它,但其中很少有人知道如何正确实现它。报告称,鉴于医疗保健行业的快速采用移动应用,这尤其涉及。
“当组织开始新的开发项目并选择语言和方法时,安全团队有机会预测可能出现的漏洞类型以及如何最好地评估它们,”维萨科博尔德首席信息安全官员表示首席技术官。
“本报告中的数据可以通过语言选择,开发人员培训以及用于使不可避免的补救过程的评估技术迅速地通知决策,”他说。
Veracode表示,该数据还表明通过电子学习服务的开发人员教育对降低应用层风险有很大影响。
据该公司,使用Veracode的电子学习服务的开发组织将其代码的安全性提高了30%,而没有正式教育计划。
Veracode的报告基于来自Veracode的基于云的平台的不断更新的信息,其中数据来自跨一系列行业和地理位置的数十亿个代码的实际代码分析。