企业缺乏可靠的计划来保护第三方软件

Veracode数据表明,尽管在第三方和外部开发的软件中提高了安全风险,但目前有很少的企业目前拥有正式的测试计划。但是,有迹象表明,更多组织开始认识并解决与外部开发的应用程序相关的安全风险。

“在第三方应用和企业外部开发人员的广泛采用带来了增加的风险,”Rescacode副总裁Chris Eng说。“事实上,典型的企业平均有600个关键任务申请,其中大约65%在外部开发,越来越容易受到这些应用中的安全风险的影响。我们开始看到企业识别和解决这些风险的迹象。”

“然而,在信任他们的第三方软件供应商开发符合行业和组织标准的应用时,组织仍然承担过多的风险。仍有更多的工作要做,可以充分保护软件供应链,” Eng added.

补充发现,存在的一些最危险的安全漏洞,如SQL注入和跨站点脚本,是第三方供应商应用中最普遍的漏洞之一。

该报告还表明,虽然软件安全测试的程序方法可以极大地帮助企业及其供应商减轻这些缺陷,但很少有组织有正式的计划,以管理和保护软件供应链。

目前少数企业有供应商应用安全测试程序,但组织内的评估量正在增长:

  • 不到五个企业在至少一家供应商中要求代码级安全测试
  • 但是,供应商提供的软件或申请评估的数量持续增长,从2011年第一季度增加了49%至2012年第二季度。

企业标准和行业标准合规之间存在差距:

  • 38%的供应商提供的申请符合企业界定的策略与10%,随着OWASP十大和30%,CWE / SANS前25个行业定义的标准。

供应商应用中的一些最危险的漏洞也是最普遍的:

  • 对于Web应用的前五大缺陷类别中的四个也是OWASP前10个最危险的缺陷和非Web应用中的五大缺陷类别,在CWE / SANS最危险的缺陷中出现的六个缺陷类别。
  • SQL注入和跨站点脚本分别影响40%和71%的供应商提供的Web应用程序版本。
  • 只有10%的申请测试符合OWASP十大名单和30%,CWE / SANS前25个行业标准。

对于第一次提交未能达成符合的62%,管理不合规应用程序是企业的一个重要方面’s security policy:

  • 11%的供应商重新提交了新版本的测试申请,但仍未遵守企业政策。

结构化测试计划促进更高的参与:

  • 依赖于临时方法的企业在要求申请安全测试平均四位参与供应商时,而具有结构化方法的企业取得了更高的成功水平,从38家供应商的平均参与。
  • 具有结构化计划的企业使更多供应商能够快速实现合规性,其中45%的供应商应用程序在一周内符合。
  • 相比之下,具有临时计划的企业仅达到28%的第三方应用程序在一周内实现合规。

“今天,每个组织都是一个扩展的企业,第三方软件在软件供应链中是一个基本层,”该研究总监Wendy Nather表示,研究总监。“It’对于这些组织在从外部供应商购买软件时,组织由于使用第三方应用程序所固有的风险,而且很少有人实际上要求其供应商的安全合规性。”

完整的报告可用 这里 (需要注册)。

分享这个