Checkmarx の年次アプリケーションセキュリティ報告書「Global Pulse on Application Security」によると、86% の組織が既知の脆弱性を含むコードをデプロイしたことがあるそうだ
(Checkmarx のブログ記事、
BetaNews の記事)。
報告書では調査会社 Censuswide を通じて全世界 1,500 人以上の CISO や AppSec 管理者、開発者から収集したデータと、クラウドベースのアプリケーションセキュリティプラットフォーム Checkmarx One のデータをまとめたものだ。既知の脆弱性を含むコードを本番環境にデプロイする頻度に関する設問では、23% が頻繁 (Often) と回答し、45% が時々 (Sometimes)、18% がまれに (Rarely) と回答しており、合計で 86% が脆弱性を含むコードをデプロイしていることになる。なお、わからない(Not sure)という回答も 1% あり、既知の脆弱性を含むコードをデプロイしたことがない (Never) という回答は 13% となる。
既知の脆弱性を含むコードを使用する理由として AppSec 管理者とソフトウェア開発者の 40% 近くが「ビジネスや機能、セキュリティに関連した締め切りに合わせるため」といった時間不足を挙げているという。また、CISO の 3 分の 1 近くは開発者が常時ポリシーに従っているとは限らないと認識しているそうだ。
88% の組織は自ら開発したアプリケーションの脆弱性によるセキュリティ侵害を過去 12 か月間に受けており、AppSec 管理者の 41% がオープンソースソフトウェアのサプライチェーン攻撃、開発者の 40% はクラウドリソースやコード化されたインフラストラクチャ(IaC)、コンテナの誤設定をセキュリティ侵害の原因に挙げているとのことだ。
スラドの皆さんはコードに脆弱性があると知りながら使わざるを得ない場面があるだろうか。
| セキュリティ
| ソフトウェア
| デベロッパー
| スラドに聞け!
|
関連ストーリー:
OSSを信頼すると同時に検証せよ
2023年03月18日
最新版以外の macOS では既知の脆弱性がすべて修正されるとは限らない
2022年10月30日
Microsoftが自慢する脆弱性のあるドライバーブロック機能、ブロックリストは更新されていなかった
2022年10月19日
Microsoft 曰く、ランサムウェア攻撃の 80 % 以上が誤った構成を狙う
2022年08月31日
zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される
2022年04月04日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる
2021年07月17日
ミネソタ大研究者、研究のためとしてLinuxカーネルに意図的に脆弱性コードをコミット
2021年04月26日
XP以来放置され続けたWindowsの入力機構に関する脆弱性、修正される
2019年08月16日
脆弱性のあるアプリケーションと脆弱性を気にしない上司、どうすればいい?
2013年12月07日
XSSは本当に危ないか?日本のセキュリティ意識は過剰?
2009年03月25日
PHPは駄目な言語なのか?
2008年02月03日
自分のコードに誇りを持っていますか?
2007年12月19日
携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか?
2007年07月11日
Web制作者の常識、開発エンジニアの常識
2006年07月26日
ウェブアプリの脆弱性にどう対応してますか?
2005年06月17日
脆弱性をなくすために、サイト管理者は何をなすべきか?
2004年02月10日
Source: スラッシュドット
