2022年软件安全发展态势一瞥.docx

第 第 PAGE #页共20页 2022年软件安全发展态势一瞥 目录 TOC \o 1-5 \h \z \o Current Document 前言 1 \o Current Document 概述 1 \o Current Document 近十年软件开发发展变化 2 1. 1.经过安全扫描的应用程序数量是十年前的三倍多 3 \o Current Document 微服务逐渐成为主流 5 \o Current Document 1.概述 5 \o Current Document 1. 2. 2. JavaScript 7 \o Current Document 1. 2. 3. PYTHON 和.NET 7 \o Current Document 1. 2. 4. C++与 Java 7 \o Current Document 1. 2. 5. Scala 7 \o Current Document 6. Go 7 \o Current Document 1.2.7. ANDROID 7 \o Current Document 安全扫描频次比十年前增加了 20倍 8 \o Current Document 三方库的安全性依旧堪忧 9 \o Current Document 静态安全测试(SAST)、动态安全测试(DAST)和SCA对比 14 \o Current Document 缺陷发现能力对比 14 \o Current Document 缺陷修复速度对比 17 \o Current Document 缺陷修复能力对比 19 \o Current Document 总结 19 前言 近期，国外知名的专注于应用安全的Veracode公司发布了他们一年一度的 《软件安全报告》至今已连续发布了 12版。在必威体育精装版的报告中(第12版)， Veracode公司深入观察了软件开发和软件安全近十年的发展状况，提供了详实 的数据分析和对比结果，并结合当下主流的应用缺陷扫描能力横向对比给出了 提高软件安全性的最佳实现路径。这对于持续关注国内外安全行业应用安全领 域发展态势的同行来说，具有一定的借鉴意义。 概述 世界正变得比以往任何时候都更紧密地联系在一起。连接使我们的生活更 轻松，但它也增加了风险。一个安全漏洞可能会产生多米诺骨牌效应，使软件 在全球范围内都受到攻击，例如去年年末爆发的Log4j高危漏洞以及近期出现 的Spring Framework远程执行代码(CVE?2022?22965),几乎影响了全球绝大多数 软件。但是，塑造了安全格局的不仅仅是增强的连接性，还有超强的竞争力和 不断创新的需求。为了加快速度，许多软件开发团队已经转向本地云技术、微 服务架构和开源代码来加速和扩展他们的努力。此外，软件开发团队已经釆用 了敏捷方法，并且在开发过程中尽可能自动化更多的步骤。 虽然这种演变提高了软件开发生命周期的速度，但也带来了新的复杂性和 风险。在我们的第12版软件安全状况报告中，我们将在Cyentia研究所的帮助 下探讨这些趋势，以评估软件安全状况是如何继续发展的。我们的目标是帮助 业内同行对软件安全计划作出明智的决定，以便各位同行可以最小化风险，并 满足网络安全条例的要求，如美国白宫在2021年5月12日发布的关于改善国 家网络安全行政命令中所列出的要求。 2021年5月，拜登政府发布了一项关于网络安全的行政命令，概述了向美 国政府销售软件的供应商的新安全要求。这些要求包括软件开发过程中的安全 测试以及正在使用的开源库的物料清单，因此，已知的漏洞将被披露，并且能 够在将来进行跟踪。虽然该命令仅影响短期内向联邦政府销售软件的公司，但 它也需要制定一个试点计划，最终将改变所有软件供应商的安全要求。 ”商业软件的开发往往缺乏透明度，对软件抵御攻击的能力缺乏足够的重 视，并且缺乏防止恶意行为者篡改的适当控制。现在迫切需要实施更加严格和 可预测的机制，以确保产品的安全运行，并且如预期的那样。”关键软件”一 一执行对信任至关重要的功能(例如提供或要求提高系统特权或直接访问网络和 计算资源)的软件一一的安全性和完整性是一个特别令人关切的问题。因此，联 邦政府必须釆取行动迅速提高软件供应链的安全性和完整性，优先处理关键软 件。” 1.近十年软件开发发展变化 与去年类似，我们查看了活跃应用程序的整个历史，而不仅仅是查看一年 内与应用程序相关的活动。通过这样做，我们可以清楚的了解到应用程序的整 个生命周期，从而得到更精确的度量和观察结果。除了回顾过去，我们还通过 考虑可能有助于提高应用程序安全性的最佳实践来设想未来如何增强软件安全 性。 Veracode用大量的数据量化了很多关