Veracode對逾13萬份應(yīng)用程序的分析顯示，2020年，零售業(yè)和酒店行業(yè)修復(fù)軟件缺陷的速度快于其他行業(yè)。

　　E安全1月26日訊 近日，Veracode對逾13萬份應(yīng)用程序的分析顯示，2020年，零售業(yè)和酒店行業(yè)修復(fù)軟件缺陷的速度快于其他行業(yè)。

　　據(jù)悉，零售行業(yè)和酒店行業(yè)通過積分卡和會員賬戶的形式跟蹤消費(fèi)者的大量個(gè)人信息，并將第三方的營銷數(shù)據(jù)整合到這些數(shù)據(jù)中，整個(gè)過程需要通過更多的軟件來實(shí)現(xiàn)。

　　Web應(yīng)用程序攻擊是零售業(yè)遭受入侵的主要載體，其中約一半的入侵事件是利用了個(gè)人信息或支付數(shù)據(jù)。

　　01、零售業(yè)和酒店行業(yè)的軟件漏洞修復(fù)

　　研究發(fā)現(xiàn)，零售業(yè)和酒店行業(yè)共約76%的應(yīng)用程序存在至少一個(gè)缺陷，與金融服務(wù)、IT、醫(yī)療保健等行業(yè)領(lǐng)域相比，這一缺陷處于平均水平。

　　然而，在該76%的比例中，有26%的應(yīng)用程序缺陷是需要緊急關(guān)注的嚴(yán)重問題——這在5大行業(yè)(零售業(yè)、酒店行業(yè)、金融服務(wù)、IT、醫(yī)療保健)中占據(jù)第二大比例。

　　研究顯示，零售業(yè)和酒店行業(yè)在短短125天內(nèi)，近一半的軟件漏洞得到了修復(fù)，比排名第二的行業(yè)快了近一個(gè)月。在所有行業(yè)中，有一半的軟件漏洞將會持續(xù)更長的時(shí)間，且可能永遠(yuǎn)不會被修復(fù)。

　　Veracode首席研究官Chris Eng表示:“零售業(yè)和酒店行業(yè)面臨雙重壓力，一方面要成為網(wǎng)絡(luò)攻擊者的高價(jià)值目標(biāo)，另一方面需要不斷開發(fā)出能夠?qū)蛻糇龀龈叨软憫?yīng)并符合PCI等行業(yè)法規(guī)的軟件?！?/p>

　　在處理與信息泄露和輸入驗(yàn)證相關(guān)的問題時(shí)，零售業(yè)和酒店行業(yè)的開發(fā)商比其他行業(yè)做得更好。使用api驅(qū)動的掃描和軟件組合分析來掃描開源組件中的缺陷，為零售業(yè)的開發(fā)團(tuán)隊(duì)提供了最大的改進(jìn)機(jī)會。

　　02、封裝缺陷、SQL注入與憑證管理問題

　　對于零售業(yè)和酒店行業(yè)來說，應(yīng)用軟件開發(fā)環(huán)境是具有挑戰(zhàn)性的，因?yàn)樗鼈兊膽?yīng)用程序往往比其他行業(yè)面向的受眾群體更廣泛。

　　零售商、酒店需處理來自客戶的許多個(gè)人隱私信息，因此，在軟件開發(fā)過程中，創(chuàng)建內(nèi)部協(xié)議以保護(hù)客戶數(shù)據(jù)非常重要，以便跟上隱私法規(guī)的變化。

　　研究發(fā)現(xiàn)，零售業(yè)領(lǐng)域的應(yīng)用軟件開發(fā)人員都在為封裝缺陷、SQL注入和證書管理問題而備受困擾。

　　對于軟件開發(fā)過程中的封裝缺陷，有效阻止對受影響的應(yīng)用程序、數(shù)據(jù)庫和系統(tǒng)的訪問是一個(gè)至關(guān)重要的步驟。

　　此外，及時(shí)有效備份用戶的數(shù)據(jù)和個(gè)人信息也十分重要，有助于在應(yīng)用軟件遭到勒索軟件攻擊時(shí)快速恢復(fù)正常的業(yè)務(wù)。

　　開發(fā)人員可以通過將加密的密碼存儲在限制的位置并避免使用硬編碼的憑據(jù)來降低憑據(jù)管理攻擊的風(fēng)險(xiǎn)。與其他行業(yè)相比，零售業(yè)領(lǐng)域的開發(fā)人員在軟件掃描頻率、靜態(tài)掃描方面的競爭力較弱。

　　開發(fā)人員可以應(yīng)用DevSecOps實(shí)踐，比如更頻繁地掃描，使用多種類型的開發(fā)測試，并改進(jìn)掃描的節(jié)奏，以創(chuàng)建更安全的應(yīng)用軟件。

　　聲明：本文來自E安全，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表本站立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系刪除。