你的代碼(軟件)安全嗎?【信息圖】

已邀請:

俞飛鴻微博

贊同來自:


2011年安全事件層出不窮,幾乎可以稱為“黑客年”。以前黑客通常是利用程序漏洞來造成破壞,令網站陷入尷尬的境地,但如今他們卻是為瞭竊取數據、IP地址,或者通過在網站中植入木馬將惡意軟件安裝到訪客的電腦裡,更有甚者轉移賬戶、違反行業規定等等,因此應用程序的安全顯得越來越重要。


安全漏洞 TOP5


據統計,10個程序中有8個以上在第一次測試時都不能通過OWASP(Open Web Application Security Project,開放式Web應用程序安全項目)的檢查,而且有一半的開發者在基礎程序安全評估中都隻能獲得C級甚至更低的評級。


下圖展示瞭排名前五位的安全漏洞。其中橙色表示受影響的Web應用的比例,XSS最高;藍色表示被黑客利用的比例,SQL註入的比例最高。



編程語言中的安全漏洞


下圖展示瞭一些流行的編程語言中比例最高的 3 種安全漏洞。其中 XSS 的威脅依然很高,而信息泄露和加密問題也不容忽視。




不同開發模式的安全漏洞


下圖展示瞭各種開發模式(內部開發、商業項目、開源項目)所帶來的安全漏洞,其中XSS高居榜首。



首次提交OWASP測試的合格率


下圖展示瞭內部項目、商業項目、開源項目、外包項目、綜合開發項目在首次提交OWASP測試的合格率,其中內部項目最高,外包項目最低。



Android應用也不安全


Android應用的安全問題主要有兩類:一類是加密問題,另一類是信息泄露問題。加密問題中61%是缺乏熵編碼的問題,這通常是由於在Java程序中使用統計RNG而不用加密RNG所致。而這些問題用一行代碼就能修復。



修復安全問題所需時間


其中外包項目中的安全問題通常能在一周之內修復,其次是開源項目。而其他項目的修復周期相對來說比較長一些。



如何增強程序安全性?



  • 及時更新軟件。自己編寫安全的軟件或要求供應商及時修復安全問題。

  • 不斷學習。自學鞏固程序安全基礎知識,參加培訓班。

  • 要求供應商為其軟件提供安全保證。要求供應商查看程序代碼,在合同裡寫入安全保證條款。


原文鏈接:Are You Practicing Safe Coding?

要回復問題請先登錄註冊