美國安全公司Veracode近日就7個垂直市場中的軟件安全狀況展開調(diào)查,并發(fā)布《2015年軟件安全報告》。報告稱,在這些市場中,政府機構僅修復了27%被發(fā)現(xiàn)的應用漏洞,占比排名最后。相較而言,金融服務業(yè)和制造業(yè)在所有垂直市場中排名最前,醫(yī)療保健、零售、服務業(yè)排名則較為靠后。
Veracode首席技術官克里斯·維索普爾指出,每個行業(yè)都面臨著如何保障網(wǎng)頁和移動客戶端應用安全的挑戰(zhàn)。例如,對已過時的編程語言的依賴嚴重威脅到了政府網(wǎng)絡安全。在初步評估時,大約有四分之三的政府應用沒有通過開放式Web應用程序安全項目十大安全隱患測試,部分原因是很多政府機構仍在使用ColdFusion之類的較陳舊的編程語言,這些陳舊的編程語言可能會產(chǎn)生較多漏洞。
報告還發(fā)現(xiàn),金融服務業(yè)和制造業(yè)對軟件安全的重視取得了成效,這兩個行業(yè)修復了大多數(shù)的軟件漏洞,漏洞修復占比分別達到了65%和81%。這個結果表明,這兩個行業(yè)對應用軟件安全風險有較高的防范意識,更重視行業(yè)政策,同時嚴密監(jiān)測關鍵績效指標,并持續(xù)做出改進。另外,報告稱目前軟件供應鏈存在較大風險,根據(jù)初步評估,近四分之三由第三方軟件供應商和SaaS提供商開發(fā)的應用沒有通過開放式Web應用程序安全項目十大安全隱患測試。
除了政府機構,醫(yī)療保健行業(yè)評測結果也不容樂觀。80%的醫(yī)療保健行業(yè)軟件應用存在加密問題。另外,該行業(yè)在漏洞修復方面表現(xiàn)欠佳,僅修復了43%被發(fā)現(xiàn)的漏洞。