베라코드(Veracode), 소프트웨어 보안 상태 2017 발표

개요

 

미국 어플리케이션 보안업체(Veracode)는 2016년 4월부터 2017년 3월까지 1,400 명의 고객을 대상으로 실시된 400,000건의 평가에 대해 약 2,500억줄의 소스코드를 분석한 결과를 발표

 

주요내용

 

고객이 개발한 프로그램에 대해 최초 취약점 스캔 시 약 69.8%는 OWASP* TOP 10 취약점에 대해 조치되지 않음

* OWASP(The Open Web Application Security Project) : 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표(04년, 07년, 10년, 13년, 17년)

 

<그림1. 최초 스캔 시 OWASP TOP 10을 조치한 비율>

다만, 고객의 마지막 취약점 스캔 시에는 최초 스캔 대비 취약점이 일부 개선됨(3.9%↑)

 

<그림2. 2017년 최초 및 마지막 스캔 시 OWASP TOP 10을 조치한 비율>

또한, 최초 및 마지막 스캔 시 심각한 취약점이 발견된 비중은 각각 11.7%, 8.6%이였음

 

<그림3. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>

발견된 취약점 중 가장 많았던 취약점은 정보노출 취약점으로 취약점이 발견된 프로그램 중 약 72.1%를 차지하였으며 뒤를 이어 암호화결함(64.9%), 코드품질(61.7%) 순이였음

<그림4. 최초, 마지막 스캔 시 심각한 취약점이 발견된 비중>

시사점

 

소프트웨어 개발 시 취약점은 항상 발생할 수 있으므로 개발 단계에서부터 취약점 스캔을 통한 프로그램 개선 작업이 필요함

[출처]

1. https://www.darkreading.com/application-security/veracode-75--of-apps-have-at-least-one-vulnerability-on-initial-scan/d/d-id/1330188?