2022年软件安全发展态势一瞥.docx
《2022年软件安全发展态势一瞥.docx》由会员分享,可在线阅读,更多相关《2022年软件安全发展态势一瞥.docx(24页珍藏版)》请在第一文库网上搜索。
1、2022年软件安全发展态势一瞥目录前言1概述11 .近十年软件开发发展变化21.1. 经过安全扫描的应用程序数量是十年前的三倍多31.2. 微服务逐渐成为主流51.2.1.概述51.2.2.JavaScript71.2.3.PYTHON和.NET71.2.4.C+与Java71.2.5.Scala71.2.6.Go71. 2.7.ANDROID71.3. 安全扫描频次比十年前增加了20倍81.4. 三方库的安全性依旧堪忧92 .静态安全测试(SAST)、动态安全测试(DAST)和SCA对比142.1. 缺陷发现能力对比142.2. 缺陷修复速度对比172.3. 缺陷修复能力对比193 .总结1
2、9刖百近期,国外知名的专注于应用安全的Veracode公司发布了他们一年一度的软件安全报告至今已连续发布了12版。在最新的报告中(第12版),Veracode公司深入观察了软件开发和软件安全近十年的发展状况,提供了详实的数据分析和对比结果,并结合当下主流的应用缺陷扫描能力横向对比给出了提高软件安全性的最佳实现路径。这对于持续关注国内外安全行业应用安全领域发展态势的同行来说,具有一定的借鉴意义。概述世界正变得比以往任何时候都更紧密地联系在一起。连接使我们的生活更轻松,但它也增加了风险。一个安全漏洞可能会产生多米诺骨牌效应,使软件在全球范围内都受到攻击,例如去年年末爆发的Log4j高危漏洞以及近期
3、出现的SpringFramework远程执行代码(CVE-2022-22965),几乎影响了全球绝大多数软件。但是,塑造了安全格局的不仅仅是增强的连接性,还有超强的竞争力和不断创新的需求。为了加快速度,许多软件开发团队已经转向本地云技术、微服务架构和开源代码来加速和扩展他们的努力。此外,软件开发团队已经采用了敏捷方法,并且在开发过程中尽可能自动化更多的步骤。虽然这种演变提高了软件开发生命周期的速度,但也带来了新的复杂性和风险。在我们的第12版软件安全状况报告中,我们将在Cyentia研究所的帮助下探讨这些趋势,以评估软件安全状况是如何继续发展的。我们的目标是帮助业内同行对软件安全计划作出明智的
4、决定,以便各位同行可以最小化风险,并满足网络安全条例的要求,如美国白宫在2021年5月12日发布的关于改善国家网络安全行政命令中所列出的要求。2021年5月,拜登政府发布了一项关于网络安全的行政命令,概述了向美国政府销售软件的供应商的新安全要求。这些要求包括软件开发过程中的安全测试以及正在使用的开源库的物料清单,因此,已知的漏洞将被披露,并且能够在将来进行跟踪。虽然该命令仅影响短期内向联邦政府销售软件的公司,但它也需要制定一个试点计划,最终将改变所有软件供应商的安全要求。”商业软件的开发往往缺乏透明度,对软件抵御攻击的能力缺乏足够的重视,并且缺乏防止恶意行为者篡改的适当控制。现在迫切需要实施更
5、加严格和可预测的机制,以确保产品的安全运行,并且如预期的那样。“关键软件”一一执行对信任至关重要的功能(例如提供或要求提高系统特权或直接访问网络和计算资源)的软件一一的安全性和完整性是一个特别令人关切的问题。因此,联邦政府必须采取行动迅速提高软件供应链的安全性和完整性,优先处理关键软件。”1 .近十年软件开发发展变化与去年类似,我们查看了活跃应用程序的整个历史,而不仅仅是查看一年内与应用程序相关的活动。通过这样做,我们可以清楚的了解到应用程序的整个生命周期,从而得到更精确的度量和观察结果。除了回顾过去,我们还通过考虑可能有助于提高应用程序安全性的最佳实践来设想未来如何增强软件安全性。Verac
6、ode用大量的数据量化了很多关于应用程序安全性状况的发展变化,近十年是互联网高速发展的时期,我们需要后退一步,审视过去,展望未来,看看哪些方面是稳定的,哪些方面发生了变化,并试图理解哪些原则经受住了时间的考验,哪些发生了动摇。首先,我们来看看人们是如何使用软件分析工具的,以及这些年来它们是如何改变的。我们将看到这些扫描反映出的发展趋势。我们也将看到开源软件是如何继续成为大多数应用程序不可或缺的一部分。其次,我们将分析软件的缺陷,看看这些软件开发趋势是如何在引入软件的漏洞过程中表现出来的。接下来,我们将检查漏洞是如何修复的,以及开发人员是否在修复漏洞方面做得更好。最后,我们将展望未来,思考开发者
7、究竟能做些什么才能编写出更安全的软件。特别是,我们将看到开发人员花时间学习如何修复漏洞的简单行为有助于更快地修复漏洞,并有助于防止将来出现安全漏洞。1.1. 经过安全扫描的应用程序数量是十年前的三倍多图1扫描的应用程序数量相比于十年前增加了三倍从上图中,我们可以看到经过安全扫描的应用程序数量比以往任何时候都多。这种增长不仅仅是因为有更多的组织机构产生。去年,大多数组织平均每季度创建超过17个扫描应用程序,而十年前只有大约5个。其可能原因有以下两点:一是组织正在创建更小、更模块化的应用程序;二是组织正在将他们的安全扫描范围扩展到低危的应用程序。组织创建新应用程序的平均数量200820092010
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 软件 安全 发展 态势 一瞥