Veracode: уязвимость ПО не теряет актуальности

За последние полтора года независимый эксперт Veracode проверила свыше 4,8 тыс. веб-приложений на соответствие требованиям компьютерной безопасности. 58% этих программных продуктов не смогли продемонстрировать приемлемое качество [PDF 249 Кб].

В 80% внутренних и коммерческих разработок были обнаружены критические ошибки из списка OWASP Top 10. Практически такие же результаты были получены испытателями полгода назад. Согласно статистике компании, наиболее распространенными уязвимостями по-прежнему являются те, которые позволяют атакующему применить технику XSS или SQL-инъекции. Число последних, правда, хотя и медленно, но все-таки сокращается ― по 2,4% за квартал.

Следует отметить, что при оценке надежности кода Veracode учитывает не только серьезность программных ошибок, но и коммерческие риски, ассоциируемые со сферой использования программного продукта. Эксперты отмечают, что некоторые отрасли, например, финансовый сектор, софтверные компании, стали предъявлять более высокие требования к качеству ПО сторонних производителей. Эта тенденция положительно отразилась и на результатах независимых исследований: доля third-party продуктов, представленных Veracode для проверки и оказавшихся годными, увеличилась с 19 до 25%.

Удивительно то, что у профессиональных разработок показатели по безопасности оказались хуже среднестатистических. Из изделий софтверной индустрии, протестированных Veracode, 66% оказались провальными. При этом худшие результаты показали приложения категории «техподдержка и работа с клиентами» (82%) и «средства и сервисы обеспечения безопасности» (72%).

Утешает лишь тот факт, признаются эксперты, что при повторном тестировании сносные результаты показывают свыше 80% веб-приложений. Чтобы привести продукт в соответствие с нормами безопасности, разработчикам нужно не больше месяца, а производители защитного ПО управляются в среднем за 3 дня.