行業新聞與部落格

根據 Veracode 最新的軟體安全狀況(SoSS) 報告，軟體安全漏洞的平均修復時間已上升至八個半月，在過去五年中增加了 47% 。

與 15 年前相比，平均修復時間也提高了 327%，這主要是由於對第三方程式碼的依賴增加以及使用 AI 生成的程式碼。

所有組織中有一半（50%）存在嚴重的安全債務，即累積的高嚴重性漏洞，這些漏洞存在的時間超過一年。

超過三分之二（70%）的關鍵安全債務來自第三方程式碼和軟體供應鏈。

大約四分之三（74.2%）的組織存在一些安全債務，包括嚴重程度較低的缺陷。

Veracode 首席安全推廣員 Chris Wysopal 評論道：“攻擊面變得越來越複雜，尤其是在過去幾年人工智慧工程的爆炸式增長中。去年的報告發現，46% 的組織存在嚴重的安全債務。雖然同比增長似乎微不足道，但它正朝著錯誤的方向發展。”

分析還發現，不同組織在發現和修復軟體缺陷的成熟度水平方面存在顯著差異。

排名前 25% 的公司每月能夠修復超過 10% 的軟體缺陷，而排名後 25% 的公司每月只能修復不到 1% 的軟體缺陷。

此外，表現排名前 25% 的組織在其應用程式中存在安全債務的不到 17%，而表現排名後 25% 的組織在其應用程式中存在安全債務的超過 67%。

研究人員分析了 130 萬個獨特應用程式，其中包含 1.264 億個原始發現。

超過一半的應用程式包含嚴重漏洞

新報告發現，超過一半（56%）的應用程式存在高嚴重性安全漏洞，而 80.3% 的應用程式存在任何缺陷。

大約三分之二（64％）的應用程式的第一方程式碼存在缺陷，而 70％ 的應用程式的第三方程式碼存在缺陷。

令人鼓舞的是，過去五年中，OWASP 十大漏洞列表中不包含任何缺陷的應用程式比例上升了 63%，從 2020 年的 32% 上升到 2025 年的 52%。

SANS 研究所 25 大軟體錯誤列表中含有缺陷的應用程式數量也持續下降。

根據 Veracode 的評級系統，自 2016 年以來，高嚴重缺陷的發生率已經減少了一半。