https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

企業軟體安全待改善 57%未達標準

2010 / 09 / 27
廖珮君
企業軟體安全待改善  57%未達標準

資安廠商Veracode日前發佈一份軟體安全報告,以2,922隻應用程式為調查對象,結果發現超過一半的軟體沒有達到可接受的安全水準,每10個網頁應用程式中,就有8個沒有通過PCI標準的審核。

 

Veracode此次調查,乃是針對過去18個月以來,雲端應用程式風險管理服務平台(Veracode Security Review)所接受委託進行風險估價的應用程式,該報告主要有以下7點發現:

1.          57%的應用程式沒有到達可接受的安全水準。

2.          第三方應用程式會降低安全品質,企業軟體使用第三方程式碼的比重愈來愈高,但是第三方程式供應商,卻有將近81%沒有達到可接受的安全水準。

3.          80%網頁應用程式沒有通過PCI安全標準協會的審查,由於這些網頁應用程式沒有遵守OWASP(開放式網頁軟體安全計劃)的安全標準,因此沒有通過PCI審查。

4.          程式開發者修復安全漏洞的速度要比以前快,從以前的36~82天,縮減至16天以內。

5.          雲端/網頁程式供應商最常被要求進行第三方風險估價。

6.          銀行、保險及金融服務業的軟體品質,不符合社會大眾對這些應用程式的安全水準的期待。

7.          跨網站攻擊程式(cross-site scripting, XSS)依舊相當盛行,其中以.NET語法開發的應用程式,在跨網站攻擊的弱點數量上相對偏高。

 

由以上結果來看,企業軟體安全仍有很大的進步空間。