60% всего ПО не соответствует требованиям ИБ

60% всего ПО не соответствует требованиям ИБ
Уж сколько раз твердили миру... что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет " The State of Software Security Report ", описывающий состояние текущего уровня защиты ПО. Veracode проанализировала 4835 приложений (в прошлом отчете их было 2922) на разных языках программирования - Java, C/C++, .NET, ColdFusion и PHP; разного типа (компоненты, библиотеки, web и иные приложения) и разной формы "собственности" - внутренняя разработка, open source, аутсорсинговое ПО, коммерческое и т.д. Краткие результаты таковы: 8 из 10 Web-приложений провалили "тест" OWASP Top 10более половины всех приложений имеют просто "никакой" уровень качества защиты ПОCSS остается одной из распространенных проблембольшинство разработчиков остро нуждается в тренингах по вопросам ИБлучше всех защищены финансовые организациидаже разработчики средств защиты не следуют правилам безопасного программированиядля анализа ПО необходимо использовать и статический и динамический анализ (хотя первый и находит на порядок больше проблем).
тенденции оценка соответствия проблемы ИБ-компаний
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале