应用程序安全性是一个移动目标业务需求和对速度的需求促使许多开发组织快速,持续地发布软件,并以牺牲安全性为代价。虽然越来越多的组织已开始采用自动化测试和DevSecOps方法来解决其中一些问题,但应用程序安全状态仍然是大多数企业主要关注的领域。
以下是32个数据点的集合,可提供当前应用程序安全性的快照。我们收集了各种分析报告,供应商调查和研究报告中的统计数据,涵盖了围绕应用程序安全性的最重要趋势和实践。
以下是数字的应用程序安全性。
85.1:可以在外部轻松发现且访问不当的应用程序的平均数量
可以在黑暗网络上访问属于金融时报(FT)500列表中70%公司的网站,因为这些应用程序不受强身份验证和其他访问控制措施的保护。
资料来源:被遗弃的网络应用:英国“金融时报”500强企业的致命弱点,高科技桥梁安全研究
92%:具有可被利用的安全漏洞或弱点的Web应用程序的百分比
大约16.2%的美国公司拥有两个或更多外部Web应用程序,允许通过Web表单输入个人身份信息(PII),并运行易受攻击的SSL / TLS版本,有时还有其他Web软件的过时和易受攻击的版本。
资料来源:被遗弃的网络应用:英国“金融时报”500强企业的致命弱点,高科技桥梁安全研究
66%:组织经历过应用层DDoS攻击的IT高管比例
来自2018年调查的790名高管中超过一半(56%)表示,他们必须每月更换面向公众的应用程序,以应对安全威胁。其余的更改了Web应用程序。
资料来源:2018-2019全球应用与网络安全报告,Radware
13:通过DAST找到的构建公司网站上的平均漏洞数量
在使用动态应用程序安全性测试发现的漏洞中,平均有五个是严重的。金融,零售和医疗保健 - 在最具针对性的行业中 - 具有较少的严重漏洞,其网站平均分别为1.6,2.7和1.7。
资料来源:2018年应用程序安全统计报告,WhiteHat Security
86%:具有一个或多个会话管理漏洞的已测试应用程序的百分比
由于输入验证错误(例如未能清理用户输入或未正确验证它),攻击者能够在大量情况下劫持或窃听用户会话。这是第二种最常见的错误类型,59%的测试应用程序具有一个或多个错误。
资料来源:2018年Trustwave全球安全报告
16%:中等,高或严重风险的测试应用程序中的安全漏洞百分比
在渗透测试期间发现的最常见的高风险漏洞是跨站点脚本错误,默认凭据使用和垂直权限提升漏洞。
资料来源:2018年Trustwave全球安全报告
19,954:2017年来自259家供应商的1,865份应用程序检测到的漏洞总数
这个数字比2016年发现的17,147个缺陷增加了14%,与五年前相比增长了38%。
来源:漏洞评论2018年,Flexera软件
14:2017年报告的零日漏洞总数
在披露之前利用漏洞的零日漏洞数量比2016年的23个零日漏洞减少了近40%。零日攻击可能造成重大损失,但数据显示它们仍然是一种罕见的威胁。
来源:漏洞评论2018年,Flexera软件
86%:在披露后24小时内提供补丁的漏洞百分比
补丁可用性的速度使组织有更多机会在2017年被利用之前修复严重且影响较大的应用程序漏洞。这一转变标志着2016年增加了5个百分点。
来源:漏洞评论2018年,Flexera软件
38:无论严重性如何,修补Web应用程序漏洞所需的平均天数
通常,企业需要54天来修补低严重性漏洞,花34天时间修复2018年第二季度的高严重性漏洞,平均需要38天才能修补Web应用程序漏洞,无论严重程度如何。
来源:生产中Web应用程序的安全报告,tCell
70%:由开源软件,第三方库等组成的应用程序中的代码比例。
开源软件,第三方库和其他可重用组件中的严重漏洞数量继续增加,使得不采用跟踪第三方组件使用措施的团队几乎不可能进行补救。
资料来源:2018年应用程序安全统计报告,WhiteHat Security
45%:在DAST期间发现的导致信息泄漏的漏洞百分比
在动态应用程序安全测试期间发现的漏洞几乎有一半导致数据泄露。其他三个最可能的DAST漏洞是内容欺骗(40%),跨站点脚本(38%)和传输层保护不足(23%)。
资料来源:2018年应用程序安全统计报告,WhiteHat Security
44%:组织发现主要存在Nessus缺陷的受访者的百分比
在本次调查中,有437名受访者表示,他们的组织主要通过Nessus发现应用程序漏洞。该数字比任何其他漏洞评估产品或工具高20分。
资料来源:2018年应用安全报告,网络安全内部人员
70%:主要进行笔测试以测试安全控制有效性的组织的百分比
虽然七分之一的人说进行渗透测试的主要原因是验证其安全控制的有效性,但十分之六的人使用笔测试来识别可能被攻击者利用的弱点。大约一半是为了满足法规或合规要求。
资料来源:2018年网络安全和渗透测试调查,由Decision Analyst主持并由SecureAuth + Core Security委托
84%:使用红色和蓝色团队安全测试的组织的百分比
在笔测试中,超过八成的组织使用红色和蓝色团队安全测试,因为他们认为这些方法是有效的。与小型公司相比,中型和大型公司更倾向于进行渗透测试。
资料来源:2018年网络安全和渗透测试调查,由Decision Analyst主持并由SecureAuth + Core Security委托
16%:组织不进行任何渗透测试的IT决策者的比例
在202名IT决策者的调查中,大约六分之一的受访者表示,他们所代表的组织不会进行任何渗透测试,或者如果他们这样做则不知道。 6%的人每年不到一次,75%的人表示他们的组织每年进行几次笔测试。
资料来源:2018年网络安全和渗透测试调查,由Decision Analyst主持并由SecureAuth + Core Security委托
31%:因开源而遭受破坏的组织的百分比
在对2,076名IT专业人员进行的调查中,近三分之一的受访者表示,他们的组织在其软件中遇到了与易受攻击的开源组件相关的漏洞。这个数字比2017年增加了55%。
资料来源:2018年DevSecOps社区调查,SonaType
38%:拥有软件中所有组件的完整物料清单的公司比例
不到四分之一的组织拥有完整的材料清单,用于其软件产品中的所有组件。近三分之二(62%)的人无法控制其应用中使用的组件。
资料来源:2018年DevSecOps社区调查,SonaType
48%:缺乏时间花在他们认为重要的安全问题上的开发人员的百分比
近一半的开发人员表示他们没有足够的时间花在安全上,即使他们意识到它的重要性。
资料来源:2018年DevSecOps社区调查,SonaType
37%:执行DevOps的组织的百分比,他们说静态应用程序分析工具至关重要
虽然有近四分之一的公司拥有成熟的DevOps实践,但静态分析工具至关重要,但只有12%没有DevOps实践的组织表示同样的事情。大约三分之一(33%)拥有成熟DevOps的组织使用动态分析工具,而只有8%的组织没有采用DevOps。
资料来源:2018年DevSecOps社区调查,SonaType
21%:通过SAST发现的与未修补的库相关的漏洞的比例
虽然通过静态应用程序安全性测试发现的近四分之一的缺陷与未修补的库有关,但在SAST期间发现的其他常见漏洞类包括应用程序配置错误(10.5%),跨站点脚本(8.3%)和明文密码(6.5%) )。
资料来源:2018年应用程序安全统计报告,WhiteHat Security
28%:拥有应用程序安全风险管理流程的CIO和CTO的百分比
虽然超过四分之一的C级高管负责应用风险,但首席信息安全官(CISO)仅在10%的组织中承担责任 - 尽管他们通常是第一个受到指责的人。安全漏洞。
资料来源:2018年应用保护报告,F5实验室
13%:访问问题和攻击导致的Web应用程序违规比例
在2017年和2018年第一季度,与访问相关的问题引发了十分之一的问题。此类问题的示例包括访问控制错误配置,强力密码破解以及来自被盗密码的凭据填充。
资料来源:2018年应用保护报告,F5实验室
52%:使用第三方组件的开发人员在披露漏洞时更新的百分比
在披露新的安全漏洞时,大约一半在其应用程序中使用第三方组件的开发人员更新组件。其中近一半的人不会更新已知的易受攻击的组件,从而使应用程序面临不必要的风险。
来源:由Veracode委托的Vanson Bourne DevSecOps调查报告
71%:表示公司有正式的应用程序计划的开发人员的比例
在2018年对400名开发人员的调查中,25%的人表示他们的组织没有应用程序安全计划,4%的人表示他们不知道他们的组织是否有一个。
来源:由Veracode委托的Vanson Bourne DevSecOps调查报告
19%:不熟悉OWASP Top 10的开发人员比例
近五分之一的开发人员表示他们根本不熟悉十大OWASP应用安全风险。几乎四分之一(22%)的软件设计师并不熟悉,相比之下,20%的团队领导者和10%的团队经理都不熟悉。
来源:由Veracode委托的Vanson Bourne DevSecOps调查报告
90%:OWASP Top 10未涵盖至少一个缺陷的应用程序的百分比
10个应用程序中有9个至少有一个OWASP Top 10未解决的安全漏洞。几乎一半(49%)的测试应用程序有一个或多个严重或高严重性的安全漏洞,OWASP Top 10未涵盖这些漏洞。
资料来源:2018年应用安全研究更新,Micro Focus Fortify软件安全研究团队
70亿美元:到2023年估计的应用程序安全市场规模
安全扫描工具的企业支出将在不久之后增加一倍以上,并为增长带来很多动力。
资料来源:Forrester Research
25%:表示其组织的应用程序支出的IT和安全团队的百分比是足够的
四分之一的组织在对1,400名IT和安全从业者的调查中表示,他们的组织正在充分利用应用程序安全性。近一半(48%)的业务经理认为应用程序性能和速度比安全性更重要。
资料来源:2018年全球应用安全研究,Arxan Technologies
65%:如果客户受到影响,将增加app sec的公司比例
只有当客户或最终用户在违规行为中受到负面影响时,才有超过六家公司会增加应用安全支出。尽管事实上近四分之三的组织可能,最有可能或肯定在过去的12个月内遇到过与应用程序相关的网络攻击或漏洞。
资料来源:2018年全球应用安全研究,Arxan Technologies
45%:面临已知但未修补的云应用程序缺陷攻击的公司百分比
运行云应用程序的组织中几乎有一半经历过针对已知但未修补的漏洞或先前未知的漏洞以及已知未修补的操作系统漏洞的一次或多次攻击。
资料来源:甲骨文和毕马威云威胁报告2018
30%:具有云应用程序的公司称识别漏洞的比例是优先考虑的因素
近三分之一的云应用程序企业表示,识别应用程序软件漏洞是其最关键的安全任务之一。组织希望提高对云托管工作负载的可见性的其他领域包括识别不合规的工作负载配置,异常工作负载活动和异常特权用户活动。
资料来源:甲骨文和毕马威云威胁报告2018
哪个app sec统计数据可以让你和你的团队在晚上工作?在下面的评论部分分享您的想法,并与您的同行互动。
原文:https://techbeacon.com/security/32-application-security-stats-matter
本文:http://pub.intelligentx.net/node/492
讨论:请加入知识星球或者小红圈【首席架构师圈】