“在企业应用程序中，第三方代码应用十分广泛，”Veracode公司的研究高级主管Chris Eng表示，“我们将所有标记为企业应用程序当作是完全内部开发的，但是当你仔细看的时候，会发现30%到70%的内部程序都包含一些第三方代码。我们知道有很多代码被重复使用，根本没有应用程序是从零开始开发的。”

　Eng表示，有些Veracode测试的第三方应用程序之前从来没有被分析过，很多都来自小型安全公司，“我们看到很多新应用程序不断出现，”Eng表示，他还表示，Veracode公司的数据是基于2900个应用程序的分析，而之前的报告则是1500个应用程序。

　　Veracode公司的King表示，在某些情况下，企业使用较旧版本的第三方代码，“在某些情况下，他们会对这些应用程序的较旧版本进行风险测试，这也使对转移到最新版本第三方软件的调整联系。”

　　Cigital公司的McGraw表示，大型软件供应商（例如微软、谷歌和EMC）正在为编写更安全的代码制定标准，“在某些情况下，我们真的还有很长的路要走，Adobe仍然受到重创。”

　　而开源软件在报告中交出了不错的成绩：42%的开源软件达到测试可接受的安全水平，而内部开发应用程序为46%，商业软件为35%。“开源的表现让人出乎意料，”研究人员Kaminsky表示，“当越来越多的用户使用特定的数据包，很可能出现审计问题而追溯到最初开发人员。”

　　在Veracode报告中也有好消息，现在开发人员修复漏洞更加迅速了。修复是改善软件安全状况的很好的指标。

　　现在企业都会在12到19天内修复漏洞，而在之前的报告中，则是36到82天内修复漏洞。现在平均时间为16天，为什么会有这么大的改善？“现在企业中有更好的工具、培训和修复压力，”她表示。

　　56%与财务相关的应用程序未能通过首次测试，而跨站脚本（XSS）仍然是排名第一的漏洞：有一半的应用程序中发现了这个漏洞。超过40%的应用程序至少有一个加密问题，虽然这些漏洞（未加密或者不适当加密）只占所有漏洞的6%。

　　其他调查结果：该报告的所有评估中有60%是针对基于云和web的应用程序。而在之前的报告中有40%的应用程序是非基于web的应用程序，这次是45%。“这是因为用户开始将注意力从只是web应用程序转移到后端应用程序，”King表示。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点