第三方组件可不总是你想象的那样，即省时省力又省成本的利器

 

应用安全公司Veracode一项新研究显示，几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。

Veracode报告公司企业所写代码的逐年改进情况，某种程度上，是对不断增长的开源和第三方组件使用风险的积极发现。一个带关键漏洞的流行组件，可扩散至80000多个其他软件组件中，然后又用到可能数百万个软件项目的开发过程中。

　　软件开发中开源组件的广泛使用，正在公司企业间制造不受控的系统性风险。

Veracode报告还凸显了软件开发中的进步和依然留存的困难。3/5(60%)的应用程序在第一轮扫描中就不满足安全策略。

安全软件开发的最佳实践正在兴起，但仍未流行到能在整个软件开发市场上举足轻重的程度。

一个积极的改进，来自于更前瞻性的公司给予开发人员更多权力进行安全改善。比如说，如果开发人员在质量保障测试之前使用沙箱技术扫描App，修复率就会倍增。

开发人员培训甚至能形成更好的效果。修复指导和在线学习之类的最佳实践，可以极大改善漏洞修复率，某些情况下，可达原修复率表现的6倍。

开发运维实践正植根于设立了成熟应用安全方案的产业领袖之间。有些应用每天都被扫描数遍。每应用平均安全测试率是7次，有些应用被扫描600-700次，将安全融合进开发运维过程，可以为企业在不减缓软件开发的情况下减少风险贡献良多。

尽管某些方面有所改善，Web应用依然脆弱：经Veracode工具测试的Web应用中，超过半数受错误配置的安全通信或其他安全防御缺陷的影响。

Veracode的第7期《软件安全状态报告》，使用Veracode的代码审计工具，在300000次评估中，对去过1年半里的数十亿行代码，进行了代码级分析，给出了各项评估标准和数据。

(责任编辑：安博涛)