60% всего ПО не соответствует требованиям ИБ

Уж сколько раз твердили миру... что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет " The State of Software Security Report ", описывающий состояние текущего уровня защиты ПО. Veracode проанализировала 4835 приложений (в прошлом отчете их было 2922) на разных языках программирования - Java, C/C++, .NET, ColdFusion и PHP; разного типа (компоненты, библиотеки, web и иные приложения) и разной формы "собственности" - внутренняя разработка, open source, аутсорсинговое ПО, коммерческое и т.д. Краткие результаты таковы: 8 из 10 Web-приложений провалили "тест" OWASP Top 10более половины всех приложений имеют просто "никакой" уровень качества защиты ПОCSS остается одной из распространенных проблембольшинство разработчиков остро нуждается в тренингах по вопросам ИБлучше всех защищены финансовые организациидаже разработчики средств защиты не следуют правилам безопасного программированиядля анализа ПО необходимо использовать и статический и динамический анализ (хотя первый и находит на порядок больше проблем).