全球领先的应用安全测试解决方案提供商 Veracode 今天透露,医疗保健行业的软件安全漏洞比例排名第一,目标为 27%。该行业在最佳表现方面超过了金融服务业,这表明医疗保健提供商在过去一年中在提高软件安全性方面取得了良好进展。
该数据发布在该公司的年度软件安全状况 (SoSS) 报告 v12 中,该报告是对医疗保健、金融、技术、制造、分销和政府领域 20 万个应用程序的 XNUMX 万次扫描进行分析的结果。
Veracode 研究主管 Chris Eng 表示:“医疗保健是监管最严格的行业之一,被政府视为关键基础设施。 因此,在一般漏洞修复方面看到这种相对积极的行为是令人鼓舞的。 我们希望医疗保健行业的开发人员和 IT 人员将其视为软件安全领域的一个可喜的积极因素,这通常不是很令人鼓舞。 仍有工作要做,因此我们期待在未来几年进一步改进”。
尽管由于漏洞的固定百分比而获得了第一名,但医疗保健领域 77% 的应用程序都存在这些问题,其中 21% 的情况严重。 该行业在发现漏洞后纠正漏洞所花费的时间方面也有很大的改进空间,达到纠正中点的时间达到惊人的 447 天。
由于医疗保健公司面临着最高的平均每次违规成本,创下 10,1 万美元的新纪录*,因此必须采取积极措施将网络攻击的风险降至最低。 由于受到高度监管的行业中的数据泄露往往与更高的长期成本相关联,而且这些成本多年来积累,这一细分市场可以进一步受益于从一开始就解决安全问题的更大的综合努力。软件开发生命周期的早期阶段。
在所分析的 6 个部门中,卫生部门在具有任何类型漏洞的应用程序的比例方面排在最后,在具有高严重性的漏洞百分比方面排名倒数第二位,评估的基础是在实际违规的情况下给应用程序和组织带来严重风险。 当涉及到行业动态应用分析检测到的违规类型时,与其他细分市场相比,医疗保健提供商在身份验证问题和不安全依赖项方面得分较高,但身份验证问题、加密和部署配置的发生率较高。
“我们知道,任何应用程序都不会 100% 安全地抵御安全漏洞,因此公司采取一切必要措施尽可能降低风险非常重要; 这包括以快速和定期的速度扫描活动,使用不同类型的测试,将测试工具集成到开发环境中,以及帮助开发人员了解漏洞来源并修复漏洞的实践培训,或者完全避免漏洞。 卫生部门还应特别关注对关键脆弱性的优先考虑,如果这些脆弱性长期得不到解决,可能会产生灾难性后果”。
Azalea Health Innovations 工程副总裁 Andrew McCall 说:“在我们的工作流程中创建安全性的最大障碍是开发人员将其视为一个简单的组件,而它是一个连续的过程。这必须始终是一个在整个软件开发生命周期中的优先级。 我们之所以选择 Veracode,是因为它是集成到我们现有流程中的最简单、最优化的解决方案。”
考虑到去年保护软件供应链的法规急剧增加,该报告分析了第三方库,以识别通过软件组成分析(SCA)检测到的漏洞的行为。 总体而言,大约 30% 的易受攻击的图书馆在两年后仍然易受攻击,但在卫生部门的情况下,这一统计数据降至 25%。 实际上,尽管通过 SCA 识别出的受漏洞影响的全球图书馆百分比随着时间的推移而趋于稳定下降,但医疗保健行业经历了短暂的激增,然后大约在去年大幅下降。
Veracode 软件安全状态 (SoSS) v12 报告分析了来自 Veracode 服务和客户的全面历史数据。总共有超过 592.720 万个应用程序 (10.34.855) 使用了所有类型的扫描,超过 5.137.882 万个动态分析扫描 (18),超过 18.473.203 万个静态分析扫描 (42) 以及超过 3,5 万个分析扫描软件的组成(6)。所有这些扫描生成了 XNUMX 万个原始静态结果、XNUMX 万个原始动态结果和 XNUMX 万个原始 SCA 结果。
这些数据代表大大小小的公司、商业软件供应商、外部软件供应商和开源项目。 在大多数分析中,一个应用程序只被计入一次,即使它已被多次提交以修复其漏洞并已上传新版本。
Veracode 是领先的 AppSec 合作伙伴,致力于构建安全软件、降低安全漏洞风险以及提高安全和开发团队的工作效率。因此,依赖 Veracode 的公司可以促进其业务并推动世界向前发展。通过将流程自动化、集成、速度和响应能力相结合,Veracode 可以帮助组织获得准确、可靠的结果,以便他们可以集中精力修复而不仅仅是发现潜在的漏洞。
版权所有 © 2022 Veracode, Inc. 保留所有权利。 Veracode 是 Veracode, Inc. 在美国的注册商标,也可能在其他司法管辖区备案。 所有其他产品名称、商标或首字母缩略词均属于其各自所有者。 本新闻稿中提及的所有其他商标均为其各自所有者的财产。