行业新闻与博客

根据 Veracode 最新的软件安全状况(SoSS) 报告，软件安全漏洞的平均修复时间已上升至八个半月，在过去五年中增加了 47% 。

与 15 年前相比，平均修复时间也提高了 327%，这主要是由于对第三方代码的依赖增加以及使用 AI 生成的代码。

所有组织中有一半（50%）存在严重的安全债务，即累积的高严重性漏洞，这些漏洞存在的时间超过一年。

超过三分之二（70%）的关键安全债务来自第三方代码和软件供应链。

大约四分之三（74.2%）的组织存在一些安全债务，包括严重程度较低的缺陷。

Veracode 首席安全推广员 Chris Wysopal 评论道：“攻击面变得越来越复杂，尤其是在过去几年人工智能工程的爆炸式增长中。去年的报告发现，46% 的组织存在严重的安全债务。虽然同比增长似乎微不足道，但它正朝着错误的方向发展。”

分析还发现，不同组织在发现和修复软件缺陷的成熟度水平方面存在显著差异。

排名前 25% 的公司每月能够修复超过 10% 的软件缺陷，而排名后 25% 的公司每月只能修复不到 1% 的软件缺陷。

此外，表现排名前 25% 的组织在其应用程序中存在安全债务的不到 17%，而表现排名后 25% 的组织在其应用程序中存在安全债务的超过 67%。

研究人员分析了 130 万个独特应用程序，其中包含 1.264 亿个原始发现。

超过一半的应用程序包含严重漏洞

新报告发现，超过一半（56%）的应用程序存在高严重性安全漏洞，而 80.3% 的应用程序存在任何缺陷。

大约三分之二（64％）的应用程序的第一方代码存在缺陷，而 70％ 的应用程序的第三方代码存在缺陷。

令人鼓舞的是，过去五年中，OWASP 十大漏洞列表中不包含任何缺陷的应用程序比例上升了 63%，从 2020 年的 32% 上升到 2025 年的 52%。

SANS 研究所 25 大软件错误列表中含有缺陷的应用程序数量也持续下降。

根据 Veracode 的评级系统，自 2016 年以来，高严重缺陷的发生率已经减少了一半。