信息來源：安全內(nèi)參

各種類型的掃描均越來越頻繁

圖源：Veracode《2022年軟件安全狀況》報(bào)告

Veracode發(fā)布新版《軟件安全狀況》報(bào)告。報(bào)告指出，相較于十年前，公司加快了應(yīng)用安全測(cè)試的節(jié)奏：接受掃描的應(yīng)用數(shù)量增加了兩倍，每個(gè)應(yīng)用的掃描次數(shù)增加了20倍。

Veracode宣稱，重視增加掃描頻率、自動(dòng)化測(cè)試與部署，以及進(jìn)行開發(fā)人員教育，這些都是轉(zhuǎn)向DevSecOps文化的標(biāo)志，有效減少了三分之二的脆弱軟件庫，節(jié)省了三分之一的漏洞修復(fù)時(shí)間。盡管77%的第三方庫在披露三個(gè)月后仍然存在已知漏洞，但庫中漏洞的半衰期（即修復(fù)半數(shù)漏洞所需的時(shí)間）加快了三倍。

Veracode首席研究官Chris Eng表示，總體而言，開發(fā)人員正朝著正確的方向前進(jìn)，但仍有很長(zhǎng)的路要走。

“事情正朝著好的方向發(fā)展，表明大家更加重視[盡早發(fā)現(xiàn)漏洞]。企業(yè)不斷納入不同掃描類型，大幅減少了脆弱軟件庫的數(shù)量——不是減少了一點(diǎn)點(diǎn)，而是縮減了很多?！?

Veracode觀察公司數(shù)據(jù)庫中各個(gè)應(yīng)用并分析多年來的趨勢(shì)之后編撰了此版報(bào)告。

報(bào)告指出，十年前，Veracode客戶平均每年進(jìn)行兩到三次掃描，但現(xiàn)在大多數(shù)開發(fā)人員每天執(zhí)行靜態(tài)分析掃描，而動(dòng)態(tài)分析掃描則是每周執(zhí)行一次。例如，在2010年，只有10%的應(yīng)用至少每周掃描一次，絕大部分應(yīng)用甚至一個(gè)月都不掃描一次。而到了2021年，情況完全反轉(zhuǎn)，90%的應(yīng)用每周至少掃描一次。

報(bào)告指出：“包括管道安全掃描的持續(xù)測(cè)試與集成逐漸成為常態(tài)，用戶掃描其應(yīng)用的頻率就反映出了這一點(diǎn)。在軟件生命周期中越早發(fā)現(xiàn)問題，就越有可能盡快解決問題，避免小問題演變成大問題?！?

表明敏捷開發(fā)崛起并對(duì)漏洞產(chǎn)生影響的另一個(gè)趨勢(shì)是，開發(fā)團(tuán)隊(duì)似乎傾向于將單體程序分解為更小的服務(wù)集合（微服務(wù)架構(gòu)）。Veracode的數(shù)據(jù)顯示，2021年只有不到5%的應(yīng)用使用多種框架和編程語言，遠(yuǎn)少于2018年的20%，表明涉及多種編程語言的大型軟件項(xiàng)目變得越來越少。

Eng稱：“你覺得應(yīng)用總是會(huì)隨著時(shí)間推移而變得越來越大——代碼越來越臃腫，而且用戶不會(huì)放棄任何功能。但我們觀察到的是應(yīng)用反而越來越小了，這些單語言應(yīng)用表明開發(fā)人員正逐漸采用微服務(wù)架構(gòu)?！?

不同類型的測(cè)試往往會(huì)發(fā)現(xiàn)不同類型的漏洞，但信息泄露除外，這種漏洞太常見了，幾乎每種測(cè)試技術(shù)都能發(fā)現(xiàn)。例如，靜態(tài)分析就經(jīng)常能找出CRLF（回車換行符）注入、信息泄露和加密問題，而動(dòng)態(tài)分析通常會(huì)發(fā)現(xiàn)服務(wù)器配置、不安全依賴和信息泄露問題。軟件組成分析（SCA）最常找到的問題是輸入驗(yàn)證不足、信息泄露和封裝問題。

每種編程語言都有其獨(dú)特的漏洞傾向。Java應(yīng)用往往存在CRLF注入漏洞，而Python程序最常見的缺陷與加密問題有關(guān)，C++的主要問題涉及錯(cuò)誤處理。

軟件組成分析發(fā)現(xiàn)的漏洞往往需要較長(zhǎng)時(shí)間才能修復(fù)，這可能是因?yàn)樾迯?fù)必須從項(xiàng)目維護(hù)人員流向開發(fā)人員。Veracode的報(bào)告指出，對(duì)于動(dòng)態(tài)分析、靜態(tài)分析和SCA這三種技術(shù)所發(fā)現(xiàn)的漏洞，修復(fù)半數(shù)漏洞所需要的時(shí)間分別為143天、290天和397天。不過，SCA所發(fā)現(xiàn)漏洞的響應(yīng)時(shí)間實(shí)際上已經(jīng)大幅縮短了——2017年時(shí)修復(fù)半數(shù)此類漏洞需花費(fèi)三年多的時(shí)間。

Veracode表示：“既然我們都知道，使用多種工具執(zhí)行多次掃描可以縮短修復(fù)時(shí)間和減少安全債務(wù)，這種轉(zhuǎn)變只能被視為有利于應(yīng)用安全的未來。歷史的鐘擺是否會(huì)回到單體應(yīng)用和瀑布式開發(fā)還有待觀察，但現(xiàn)在看來似乎不太可能?！?

至于開源軟件庫，Veracode發(fā)現(xiàn)，最流行的軟件庫在過去五年里一直沒什么變化。例如，超過97%的Java應(yīng)用代碼來自于開源庫。不過，過去五年來，存在缺陷的軟件庫占比有所下降，Java、JavaScript和Python都見證了脆弱庫的大幅減少。

報(bào)告指出：“值得警惕的是，開發(fā)人員可能會(huì)堅(jiān)持使用經(jīng)驗(yàn)證的庫，而不去嘗試重構(gòu)自己的代碼庫來引入新潮熱門功能。如果代碼庫沒有缺陷，更新就會(huì)很慢，而有缺陷的時(shí)候更新就相對(duì)較快。只要開源軟件開發(fā)人員持續(xù)修復(fù)安全漏洞，開發(fā)人員就會(huì)繼續(xù)使用這些庫?！?

Veracode《2022年軟件安全狀況》報(bào)告：

https://www.veracode.com/state-of-software-security-report