大量应用程序在第一年就存在安全漏洞

新的研究发现，在它们存在的第一年，三分之一(32%)的应用程序存在安全漏洞，到五岁时，这个数字增长到超过三分之二(70%)。

Veracode的一份新报告发现，企业需要尽早、经常地以各种方式扫描缺陷，以最大限度地减少未来出现严重问题的可能性。

该公司分析了商业软件供应商、软件外包商和开源项目中超过四分之三的一百万个应用程序，发现在最初引入缺陷后，这些应用程序通常会进入稳定的“蜜月期”——将近80%第一年半不要引入任何新缺陷。

Veracode说，忽视及早解决安全漏洞可能会导致巨大的成本，并引用最近的报告称平均数据泄露现在造成435万美元的损失。

相反，开发人员应该做一些事情来减少引入缺陷的可能性，包括开发人员培训和使用多种扫描类型——包括通过API进行扫描。

该公司补充说，扫描频率也是一个重要因素。此外，他们应该尽早和尽快解决技术和安全债务，优先考虑自动化和开发人员安全培训，并建立一个包含变更管理、资源分配和组织控制的应用程序生命周期管理协议。

“使用软件组合分析(SCA)解决方案，利用国家漏洞数据库之外的多个缺陷来源，一旦漏洞被披露，就会提前向团队发出警告，并使他们能够更快地实施保护措施，希望在利用开始之前，”说Veracode首席研究官ChrisEng。

“还建议围绕漏洞检测和管理制定组织政策，并考虑减少第三方依赖的方法。”