Компания Veracode выпустила отчет о состоянии безопасности приложений за период с 1 апреля 2016 года по 31 марта 2017 года. Новая статистика составлена по результатам анализа около 250 млрд строк кода, полученных в ходе 400 тыс. проверок в 1400 компаниях-клиентах.

Согласно новой статистике, 77% приложений, используемых в корпоративной среде, страдают как минимум от одной уязвимости, которую можно обнаружить при первом же сканировании. Для Java-приложений этот показатель еще выше — 88%. При этом регулярные проверки на наличие уязвимых компонентов проводят менее 28% компаний.

Тестирование показало, что уязвимости в Java-приложениях в основной своей массе привязаны к open-source и коммерческим компонентам. Так, пропатченная в марте опасная брешь в Apache Struts 2 оказалась незакрытой в 68% активно используемых программ. Также более половины Java-приложений задействовали уязвимую версию библиотеки Apache Commons Collections.

При подготовке отчета в Veracode также обнаружили, что в 12% приложений первое же сканирование выявляет наличие уязвимости очень высокой или высокой степени критичности.

Характер уязвимостей, наиболее часто встречающихся в корпоративных приложениях, остался прежним. Это в основном утечки памяти — 65%, ошибки в реализации криптографических функций — 62%, и низкое качество кода — 56%. Аналитики заключили, что это говорит о неспособности организаций решить хорошо известные проблемы безопасности. Особенно плачевна ситуация в правительственных структурах, где до сих пор преобладают такие активно атакуемые уязвимости, как XSS (49% от общего количества) и SQLi (32%).

Вместе с тем аналитики Veracode отметили незначительный рост числа организаций, ежегодно проводящих не менее 12 сканирований ПО — за год этот показатель увеличился на 0,6%, до 11,1%. Однако более трети клиентов компании все еще проводят лишь одну проверку в год. Количество приложений, проверка которых проводится ежедневно, в среднем увеличилось на 3-4%, но большинство приложений по-прежнему проверяют только раз в квартал.

При этом авторы отчета не склонны обвинять в уязвимости приложений исключительно кодеров и разработчиков. Халатность компаний в отношении кибербезопасности также имеет место: так, например, исследование Veracode показало, что 25% сайтов работают на веб-серверах, содержащих незакрытые уязвимости, оцениваемые в 6 и более баллов по шкале CVSS. При этом 19% веб-серверов работают уже более десяти лет.

Категории: Аналитика, Уязвимости