개요
미국 어플리케이션 보안업체(Veracode)는 2016년 4월부터 2017년 3월까지 1,400 명의 고객을 대상으로 실시된 400,000건의 평가에 대해 약 2,500억줄의 소스코드를 분석한 결과를 발표
주요내용
고객이 개발한 프로그램에 대해 최초 취약점 스캔 시 약 69.8%는 OWASP* TOP 10 취약점에 대해 조치되지 않음
* OWASP(The Open Web Application Security Project) : 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표(04년, 07년, 10년, 13년, 17년)
<그림1. 최초 스캔 시 OWASP TOP 10을 조치한 비율>
다만, 고객의 마지막 취약점 스캔 시에는 최초 스캔 대비 취약점이 일부 개선됨(3.9%↑)
<그림2. 2017년 최초 및 마지막 스캔 시 OWASP TOP 10을 조치한 비율>
또한, 최초 및 마지막 스캔 시 심각한 취약점이 발견된 비중은 각각 11.7%, 8.6%이였음
<그림3. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>
발견된 취약점 중 가장 많았던 취약점은 정보노출 취약점으로 취약점이 발견된 프로그램 중 약 72.1%를 차지하였으며 뒤를 이어 암호화결함(64.9%), 코드품질(61.7%) 순이였음
<그림4. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>
시사점
소프트웨어 개발 시 취약점은 항상 발생할 수 있으므로 개발 단계에서부터 취약점 스캔을 통한 프로그램 개선 작업이 필요함
[출처]
1. https://www.darkreading.com/application-security/veracode-75--of-apps-have-at-least-one-vulnerability-on-initial-scan/d/d-id/1330188?
'Security_News > 해외보안소식' 카테고리의 다른 글
| OpenSSL, 구글 퍼징 서비스 'OSS-Fuzz' 로 발견 된 취약점 패치 (0) | 2017.11.06 |
|---|---|
| NIST, 사물인터넷 사이버보안 학회 개최 발표 (0) | 2017.10.31 |
| 한국 타켓, 신종 랜섬웨어 마이랜섬(Magniber) 등장 (0) | 2017.10.31 |
| 안드로이드 앱과 WordPress 사이트에서 발견된 Coinhive (0) | 2017.10.31 |
| 유튜브 URL로 스푸핑하는 페이스북의 링크 (0) | 2017.10.31 |