資安廠商Veracode日前發佈一份軟體安全報告,以2,922隻應用程式為調查對象,結果發現超過一半的軟體沒有達到可接受的安全水準,每10個網頁應用程式中,就有8個沒有通過PCI標準的審核。
Veracode此次調查,乃是針對過去18個月以來,雲端應用程式風險管理服務平台(Veracode Security Review)所接受委託進行風險估價的應用程式,該報告主要有以下7點發現:
1. 57%的應用程式沒有到達可接受的安全水準。
2. 第三方應用程式會降低安全品質,企業軟體使用第三方程式碼的比重愈來愈高,但是第三方程式供應商,卻有將近81%沒有達到可接受的安全水準。
3. 80%網頁應用程式沒有通過PCI安全標準協會的審查,由於這些網頁應用程式沒有遵守OWASP(開放式網頁軟體安全計劃)的安全標準,因此沒有通過PCI審查。
4. 程式開發者修復安全漏洞的速度要比以前快,從以前的36~82天,縮減至16天以內。
5. 雲端/網頁程式供應商最常被要求進行第三方風險估價。
6. 銀行、保險及金融服務業的軟體品質,不符合社會大眾對這些應用程式的安全水準的期待。
7. 跨網站攻擊程式(cross-site scripting, XSS)依舊相當盛行,其中以.NET語法開發的應用程式,在跨網站攻擊的弱點數量上相對偏高。
由以上結果來看,企業軟體安全仍有很大的進步空間。