信息來源:安全內(nèi)參
各種類型的掃描均越來越頻繁
圖源:Veracode《2022年軟件安全狀況》報(bào)告
Veracode發(fā)布新版《軟件安全狀況》報(bào)告。報(bào)告指出,相較于十年前,公司加快了應(yīng)用安全測試的節(jié)奏:接受掃描的應(yīng)用數(shù)量增加了兩倍,每個(gè)應(yīng)用的掃描次數(shù)增加了20倍。
Veracode宣稱,重視增加掃描頻率、自動(dòng)化測試與部署,以及進(jìn)行開發(fā)人員教育,這些都是轉(zhuǎn)向DevSecOps文化的標(biāo)志,有效減少了三分之二的脆弱軟件庫,節(jié)省了三分之一的漏洞修復(fù)時(shí)間。盡管77%的第三方庫在披露三個(gè)月后仍然存在已知漏洞,但庫中漏洞的半衰期(即修復(fù)半數(shù)漏洞所需的時(shí)間)加快了三倍。
Veracode首席研究官Chris Eng表示,總體而言,開發(fā)人員正朝著正確的方向前進(jìn),但仍有很長的路要走。
“事情正朝著好的方向發(fā)展,表明大家更加重視[盡早發(fā)現(xiàn)漏洞]。企業(yè)不斷納入不同掃描類型,大幅減少了脆弱軟件庫的數(shù)量——不是減少了一點(diǎn)點(diǎn),而是縮減了很多?!?
Veracode觀察公司數(shù)據(jù)庫中各個(gè)應(yīng)用并分析多年來的趨勢之后編撰了此版報(bào)告。
報(bào)告指出,十年前,Veracode客戶平均每年進(jìn)行兩到三次掃描,但現(xiàn)在大多數(shù)開發(fā)人員每天執(zhí)行靜態(tài)分析掃描,而動(dòng)態(tài)分析掃描則是每周執(zhí)行一次。例如,在2010年,只有10%的應(yīng)用至少每周掃描一次,絕大部分應(yīng)用甚至一個(gè)月都不掃描一次。而到了2021年,情況完全反轉(zhuǎn),90%的應(yīng)用每周至少掃描一次。
報(bào)告指出:“包括管道安全掃描的持續(xù)測試與集成逐漸成為常態(tài),用戶掃描其應(yīng)用的頻率就反映出了這一點(diǎn)。在軟件生命周期中越早發(fā)現(xiàn)問題,就越有可能盡快解決問題,避免小問題演變成大問題?!?
表明敏捷開發(fā)崛起并對漏洞產(chǎn)生影響的另一個(gè)趨勢是,開發(fā)團(tuán)隊(duì)似乎傾向于將單體程序分解為更小的服務(wù)集合(微服務(wù)架構(gòu))。Veracode的數(shù)據(jù)顯示,2021年只有不到5%的應(yīng)用使用多種框架和編程語言,遠(yuǎn)少于2018年的20%,表明涉及多種編程語言的大型軟件項(xiàng)目變得越來越少。
Eng稱:“你覺得應(yīng)用總是會隨著時(shí)間推移而變得越來越大——代碼越來越臃腫,而且用戶不會放棄任何功能。但我們觀察到的是應(yīng)用反而越來越小了,這些單語言應(yīng)用表明開發(fā)人員正逐漸采用微服務(wù)架構(gòu)?!?
不同類型的測試往往會發(fā)現(xiàn)不同類型的漏洞,但信息泄露除外,這種漏洞太常見了,幾乎每種測試技術(shù)都能發(fā)現(xiàn)。例如,靜態(tài)分析就經(jīng)常能找出CRLF(回車換行符)注入、信息泄露和加密問題,而動(dòng)態(tài)分析通常會發(fā)現(xiàn)服務(wù)器配置、不安全依賴和信息泄露問題。軟件組成分析(SCA)最常找到的問題是輸入驗(yàn)證不足、信息泄露和封裝問題。
每種編程語言都有其獨(dú)特的漏洞傾向。Java應(yīng)用往往存在CRLF注入漏洞,而Python程序最常見的缺陷與加密問題有關(guān),C++的主要問題涉及錯(cuò)誤處理。
軟件組成分析發(fā)現(xiàn)的漏洞往往需要較長時(shí)間才能修復(fù),這可能是因?yàn)樾迯?fù)必須從項(xiàng)目維護(hù)人員流向開發(fā)人員。Veracode的報(bào)告指出,對于動(dòng)態(tài)分析、靜態(tài)分析和SCA這三種技術(shù)所發(fā)現(xiàn)的漏洞,修復(fù)半數(shù)漏洞所需要的時(shí)間分別為143天、290天和397天。不過,SCA所發(fā)現(xiàn)漏洞的響應(yīng)時(shí)間實(shí)際上已經(jīng)大幅縮短了——2017年時(shí)修復(fù)半數(shù)此類漏洞需花費(fèi)三年多的時(shí)間。
Veracode表示:“既然我們都知道,使用多種工具執(zhí)行多次掃描可以縮短修復(fù)時(shí)間和減少安全債務(wù),這種轉(zhuǎn)變只能被視為有利于應(yīng)用安全的未來。歷史的鐘擺是否會回到單體應(yīng)用和瀑布式開發(fā)還有待觀察,但現(xiàn)在看來似乎不太可能?!?
至于開源軟件庫,Veracode發(fā)現(xiàn),最流行的軟件庫在過去五年里一直沒什么變化。例如,超過97%的Java應(yīng)用代碼來自于開源庫。不過,過去五年來,存在缺陷的軟件庫占比有所下降,Java、JavaScript和Python都見證了脆弱庫的大幅減少。
報(bào)告指出:“值得警惕的是,開發(fā)人員可能會堅(jiān)持使用經(jīng)驗(yàn)證的庫,而不去嘗試重構(gòu)自己的代碼庫來引入新潮熱門功能。如果代碼庫沒有缺陷,更新就會很慢,而有缺陷的時(shí)候更新就相對較快。只要開源軟件開發(fā)人員持續(xù)修復(fù)安全漏洞,開發(fā)人員就會繼續(xù)使用這些庫。”
Veracode《2022年軟件安全狀況》報(bào)告:
https://www.veracode.com/state-of-software-security-report