Отчет от прикладной компании по обеспечению безопасности, оценивающей слабые места безопасности прикладного уровня, используемые организациями в различных отраслях промышленности, показывает, что правительство и предприятия здравоохранения занимают место в последний раз при решении найденных проблем.

Исследование было выполнено Veracode, используя его облачную аналитическую платформу и включенные промышленные вертикали как производство, финансовые услуги, розничная продажа и гостеприимство и технология.

Старые языки программирования несут часть вины

Согласно государству отчета о безопасности программного обеспечения, опубликованного во вторник, правительственные организации зафиксировали только 27% слабых мест, определенных облачным прикладным обслуживанием оценки Верэкоуда, поместив этот сектор в нижней части списка.

Исследователи говорят, что приложения правительства очень восприимчивы к нападениям инъекции SQL, и “3 из 4 приложений государственного сектора подводят Лучшие 10 OWASP когда сначала оцененный для риска”. Это государство объяснено многими правительственными учреждениями, используя более старые языки программирования (например, ColdFusion), как известны, производит больше слабых мест.

Насколько сектор здравоохранения затронут, это выше в списке с 43% обнаруженных зафиксированных вопросов безопасности, хотя число все еще помещает его предпоследний в список после технологической промышленности.

Более тревожный аспект - то, что после начальной оценки 80% приложений здравоохранения идут со слабыми алгоритмами шифрования, представляя серьезную угрозу для безопасности конфиденциальной информации, порученной людьми.

Самые распространенные высокие слабые места профиля для этих секторов - шифровальные проблемы в случае здравоохранения и сценариев поперечного места (XSS) в случае приложений правительства, где риск инъекции SQL является также самым распространенным по сравнению со всеми проанализированными промышленными вертикалями.

Обрабатывающая промышленность ведет в вершине исправления уязвимости

В противоположном конце относительно уязвимости исправление обрабатывающая промышленность и индустрия финансовых услуг, фиксируя 81% и 65%, соответственно, недостатков, раскрытых Veracode.

Главная работа от производства вертикального может быть объяснена внедрением методологий совершенствования процесса и средств управления системой поставок для критически настроенных поставщиков. “Поскольку роль системы поставок становится все больше цифровой, мы надеемся нырнуть глубже, чтобы видеть, какие методы производственные клиенты находят эффективными при обращении к слабым местам в их системах поставок программного обеспечения”, говорят исследователи.

Взятие первого пятна в лучших 10 категориях уязвимости является качеством кода программы, составляя 80% в здравоохранении, 70% в правительстве и 56% в программном обеспечении, используемом в обрабатывающей промышленности.

Большинство приложений, проверенных несколько раз за 18 месяцев

Верэкоуд говорит, что в период клиентов исследования использовал его платформу, чтобы оценить 28% заявлений только однажды, в то время как остальная часть 72% была проверена, по крайней мере, дважды, скорее всего, чтобы проверить, были ли слабые места безопасности зафиксированы.

Информация в отчете основана на 208 670 прикладных оценках, выполненных между 1 октября 2013, и 31 марта 2015. Подчинение прибыло из крупных и небольших компаний, коммерческих поставщиков программного обеспечения и общедоступных проектов.

Правительство, организационный адрес здравоохранения наименьшее количество суммы слабых мест Категории уязвимости вертикальной промышленностью