【ITBEAR科技資訊】近日市場(chǎng)調(diào)查機(jī)構(gòu)Checkmarx發(fā)布了一項(xiàng)調(diào)查報(bào)告,調(diào)查顯示在過(guò)去一年中,有88%的AppSec經(jīng)理表示他們?cè)馐芰艘虼a漏洞而導(dǎo)致的攻擊。同時(shí),60%的漏洞可以在代碼構(gòu)建或測(cè)試階段被檢測(cè)發(fā)現(xiàn),這意味著通過(guò)早期的安全測(cè)試可以減少安全漏洞的出現(xiàn)。但是,調(diào)查發(fā)現(xiàn)仍有許多軟件開(kāi)發(fā)人員和AppSec經(jīng)理未能充分重視代碼安全。
調(diào)查發(fā)現(xiàn),風(fēng)險(xiǎn)最高的因素是API的使用和暴露,占37%。其次是開(kāi)源軟件供應(yīng)鏈(惡意代碼)、應(yīng)用容器化、開(kāi)源軟件和基礎(chǔ)設(shè)施即代碼風(fēng)險(xiǎn),風(fēng)險(xiǎn)比例均在36%以上。調(diào)查還發(fā)現(xiàn),41%的AppSec經(jīng)理經(jīng)歷過(guò)開(kāi)源軟件供應(yīng)鏈攻擊,40%的人曾經(jīng)遭受過(guò)憑據(jù)被盜、機(jī)密或弱身份驗(yàn)證/授權(quán),39%的人經(jīng)歷過(guò)因發(fā)布到生產(chǎn)環(huán)境的代碼中的已知和/或未知漏洞而遭遇攻擊。
據(jù)了解,34%的受訪者表示已經(jīng)將AppSec掃描完全集成并自動(dòng)化到他們的軟件配置管理(SCM)系統(tǒng)、集成開(kāi)發(fā)環(huán)境(IDE)和持續(xù)集成(CI)/ 持續(xù)交付(CD)工具中,這表明他們已經(jīng)采取措施在早期的開(kāi)發(fā)過(guò)程中識(shí)別和修復(fù)漏洞。然而,仍有一些漏洞可能被忽略或被攻擊者利用。
因此,軟件開(kāi)發(fā)人員和AppSec經(jīng)理需要更加重視代碼安全,注意代碼中可能存在的風(fēng)險(xiǎn)和漏洞,并加強(qiáng)應(yīng)用安全保護(hù)措施。
