软件安全:大多数第三方软件不安全

　　导读:我们仍然认为，在软件安全领域还需要作出更大努力。超过一般的应用程序在第一次测试中无法达到可接受的安全水平，”Veracode产品副总裁Sam King表示。现在的软件安全状况报告是参照Veracode三月份发布的报告，在三月份的报告中发现，大部分软件应用程序仍然漏洞百出，58%的应用程序无法通过首次测试。

　  企业软件开发人员由于其开发的应用程序存在安全问题而留下坏名声，但是最新研究数据显示很多软件供应商的产品比企业内部开发的软件更加不安全。

　　根据Veracode最新发布的报告显示，在超过80%的第三方软件无法通过Veracode的安全测试。并且Veracode发现，在所有应用程序中，有57%存在安全漏洞。超过80%的内部开发软件和商业应用程序都不符合OWASP的web应用程序应该避免的十大重要错误。

　　也就是说，软件的安全状况并没有得到改善，King表示。

　　不过软件安全性的提高取决于如何衡量。BSIMM公司的创始人之一兼Cigital首席信息官Gary McGraw表示，BSIMM已经出现了明显的改善。“Veracode是对来自不同公司群的代码片段进行分析，我们的结果显示在这些努力改善软件安全的公司中我们确实有了明显改进，”McGraw表示。

　　即便如此，他表示，Veracode发现这么多存在漏洞的应用程序确实很令人担忧。

　　着名安全研究人员Dan Kaminsky表示，一直存在一个错误的观念，即所有软件在被证明存在问题之前都是安全的。

　　“这并不是事实，大多数情况下，所有的代码都是有问题的，直到产生严重后果才会被发现，”Kaminsky表示，“这些后果只有当用户被攻击，或者审计中被发现，才会发现代码的问题。”

　　在最新报告中，Veracode仔细分析了第三方应用程序：第三方代码占据了该公司测试的所有应用程序的30%，Veracode估计这些代码占所有关键应用程序的20%到37%。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点