Veracode 报告显示，尽管面临挑战，软件安全进步仍显示出进步

正如 Veracode 最近的软件安全状况报告所强调的那样，多年来软件安全性取得了显着进步。尽管挑战依然存在，但平均而言，应用程序从未像现在这样安全，在全球网络威胁中提供了一些急需的乐观情绪。

尽管取得了进展，但该报告强调了单一漏洞连锁反应可能导致的震惊世界的后果。一个典型的例子是全球 SolarWinds 攻击，它使 Microsoft、Cisco、FireEye 和 Intel 等公司因在其 Orion 软件中使用恶意代码而暴露在外。政府机构和知名机构也不例外。

为了应对此类漏洞，拜登政府于 2021 年 5 月 12 日发布了一项行政命令，引入了旨在加强国家网络安全的新措施。在其第 12 份年度报告中，Veracode 旨在帮助领导者解决软件安全问题、降低风险并遵守这些新法规。

该报告揭示了向单语言应用程序或微服务转变的行业趋势。 2018 年，大约 20% 的应用程序使用多种语言，到 2021 年下降到不到 5%。稳健的持续测试实践导致 90% 的应用程序每周被扫描多次——比 2010 年每年几次扫描的频率要高得多。

多年来，第三方图书馆变得不那么脆弱了。 2017 年，35% 的库包含一个已知缺陷，到 2021 年这一比例减少到 10%。修复这些第三方漏洞所需的时间已经取得了长足进步，这表明还有改进的余地。

比如2017年，用三年多时间完成缺陷解决的中点；到 2021 年，只用了一年多的时间。然而，即使取得了这些进展，令人震惊的 77% 的缺陷在三个月后仍未得到解决。

应用软件组成分析 (SCA)，研究人员发现 97% 的 Java 应用程序依赖开源库，从而长期保持大规模软件漏洞的威胁。

关于跨各种语言的第三方代码使用，Java 似乎是最依赖第三方代码的。相反，.NET 对第三方代码的使用在 2020 年从个位数百分比飙升至 50% 以上，与 .NET 5 的发布相吻合。

JavaScript 和 Python 显示出不一致的模式，软件主要由内部代码或第三方代码组成，而 PHP 和 C++ 仍然专注于本地代码。该报告表明，开发人员倾向于依赖久经考验的库，而不是重构他们的代码库以获得更新、更流行的替代方案。

此外，Veracode 的研究调查特定语言是否更容易出现有缺陷的库，并评估随着时间的推移在减少漏洞方面取得的进展。 Java 库的平均缺陷数最高，为 12.5%，紧随其后的是 Ruby，约为 10%，Python 约为 5%。在 PHP、JavaScript 和 .NET 中发现易受攻击的库的流行率最低，平均约为 3%。

Java、JavaScript 和 Python 库取得了重大进展。自 2017 年以来，Java 库将漏洞率降低了 25% 左右，Python 降低了 20%，JavaScript 降低了 10%。

动态扫描与静态分析相结合，将补救率提高了 50%，并将整个过程平均加快了 24 天。将 SCA 纳入组合进一步将时间框架缩短了六天。

尽管最近引起全国关注的备受瞩目的攻击有所增加，但美国软件开发的安全性仍处于历史最高水平。 Veracode 的报告承认仍有工作要做，但软件安全已步入正轨。利用像AppMaster这样的no-code平台可以提供额外的安全层，这要归功于它们固有的低风险特性、自动更新和合规性监控。随着解决软件安全风险的不断努力，未来看起来充满希望。