Компания Veracode представила результаты исследования о рисках в области безопасности программного обеспечения и о тех метриках, которые помогают оценивать прогресс в их устранении. В отчете сравниваются лучшие и худшие практики, которые применяют организации, а также рассматриваются различия в подходах к безопасности. Основная цель исследования заключается в том, чтобы помочь улучшить защиту критически важного ПО в эпоху искусственного интеллекта.

В отчете представлены результаты тестирования безопасности приложений, проведенного с использованием различных методов, таких как статический анализ (SAST), динамический анализ (DAST), анализ состава ПО (SCA) и ручное проникновенное тестирование через облачную платформу Veracode. В общей сложности в рамках исследования было проанализировано 1,3 млн уникальных приложений, в которых было обнаружено 126,4 млн уязвимостей.

Ключевые выводы:

• за последние пять лет процент приложений, успешно проходящих проверку на наличие наиболее распространенных и критичных уязвимостей OWASP Top 10 (Open Web Application Security Project), увеличился на 63% — с 32% в 2020 году до 52% в 2025 году;

• доля приложений с уязвимостями высокой степени серьезности увеличилась на 181%, а среднее количество дней для исправления уязвимостей выросло на 47% — со 171 дня в 2020 году до 252 дней в 2025 году;

• половина организаций имеет долгосрочные нерешенные проблемы с безопасностью критической важности, и 70% этих проблем связаны с программным кодом, созданным внешними разработчиками, и цепочкой поставок программного обеспечения. Избежать долгосрочных проблем удается примерно четверти компаний;

• если уязвимости в собственном коде встречаются в 64% приложений, то уязвимости в коде, написанном сторонними разработчиками, — в 70%;

• по данным Veracode, 28% уязвимостей остаются нерешенными через два года после обнаружения, 9% уязвимостей оказываются неустраненными и через пять лет;

• то, насколько уязвимость серьезная, не является основным фактором в процессе ее устранения — период исправления критических проблем всего на месяц короче, чем для менее серьезных случаев. При этом, как указали авторы исследования, чем больше времени прошло с момента обнаружения уязвимости, тем менее вероятно ее исправление в будущем;

• некоторые языки программирования более подвержены накоплению уязвимостей, чем другие. Чаще всего проблемы возникают при использовании VBScript и VB6, а реже всего — в случае с COBOL и GOLANG;

• в среднем уязвимости обнаруживаются примерно в 66% приложений. Компании-лидеры смогли снизить этот показатель до уровня ниже 43%. Отстающие же компании сталкиваются с уязвимостями почти в каждом приложении — у них этот показатель достигает 86% и более;

• в среднем одно приложение содержит примерно 47 уязвимостей на каждый мегабайт кода. У компаний-лидеров плотность уязвимостей в 19 раз ниже, чем у компаний-аутсайдеров;

• по подсчетам Veracode, компании исправляют в большинстве приложений менее 10% уязвимостей в месяц. У лучших команд этот показатель выше 10%, у самых слабых — всего 1%.

Расскажите знакомым: