行业新闻与博客

CA Veracode 昨天发布的一项关于软件安全状态的研究证明了 DevOps 安全性的改进，表明 DevSecOps 正在促进更好的安全性和效率。

虽然该报告显示了开发方面的承诺，但它也分析了缺陷持久性并测量了最初发现后缺陷的持续时间。虽然软件安全性正在提高，但该报告发现，在首次被发现后，四分之一的缺陷仍然存在一年多。

在所有行业中，公司都在解决大量的漏洞，但在采取行动的公司方面却有所改善。根据该报告，69％ 的缺陷通过补救或缓解而结束，这反映出自上次报告以来增加了 12％。

另一项重要发现是易受攻击的应用程序数量仍然高得惊人。研究表明，在很大程度上，这是开源组件的结果，这给企业带来了巨大的风险。

在进行第一次扫描后，研究人员发现超过 85％ 的应用程序至少有一个漏洞，超过 13％ 的应用程序至少包含一个非常严重的漏洞。据报道，此外，三分之一的应用程序容易受到高或极高严重性缺陷的攻击。

在研究了 2 万亿行代码的修复率之后，研究人员发现持续存在的漏洞继续给企业带来更大的应用风险。发现后一个月内保持开放的瑕疵数量超过 70％，而发现后三个月仍有近 55％ 的瑕疵未得到解决。

然而，在被发现后的 290 天内，只有 25％ 的高度和非常高严重性的缺陷仍未得到解决，并且相同的百分比在 21 天内得到修复。但发现后，25％ 仍然开放超过一年。

“具有安全意识的组织已经认识到，将安全设计和测试直接嵌入到持续的软件交付周期对于实现 DevSecOps 速度，灵活性和风险管理平衡原则至关重要，”CA Veracode 研究副总裁Chris Eng 说。“

到目前为止，确定这种方法的好处一直是一项挑战，但最新的软件安全状况报告提供了有力的证据，证明扫描更频繁的组织正在更快地修复漏洞。随着时间的推移，这些增量改进在市场竞争中具有显着优势，并且与漏洞相关的风险大幅下降。“