“Veracode的基于云的软件测试工具扫描的大多数应用程序都”

veracode在半年的软件安全报告中指出，开发人员在构建应用程序时必须接受安全培训，安全测试必须成为开发生命周期的一部分。 12月7日，在veracode第4份软件安全状态报告中检查的约10，000个应用程序中，有80%以上的应用程序首次未通过安全测试，但在首次尝试中，veracode表示 在4月发表的上一份报告中，首次通过的比例为42%。

急剧减少的原因很可能是由于veracode针对站点间脚本和sql注入漏洞制定了零容忍战略，是通过安全测试的更严格标准的结果。 由于这两种漏洞容易被攻击者利用，因此这被视为低果实，这两种漏洞是今年年初由sans institute查明的25个web漏洞之一。 恶意攻击者可以通过sql注入和xss攻击访问客户数据和知识产权，正如今年的各种网络攻击充分说明的那样。

由于最近报告的攻击者经常利用web应用程序和桌面软件的弱点进行破坏，利用常见的xss和sql注入漏洞，因此为了反映威胁的情况和现实情况，我们的决策应该更加严格。 提高了应被视为安全软件的标准。 veracode的ciso和cto创始人chris wysopal说。

veracode发现，所有测试的web应用程序中有68%至少有一个xss缺陷，32%有sql注入孔。

该报告还检查了政府对web应用其他领域的安全质量，发现政府的应用还存在问题。 该报告显示，约40%的政府网站在最初的测试中含有sql注入漏洞，而金融领域的企业网站本身有29%含有sql注入漏洞，在垂直软件中含有30%。 veracode测试的政府网站本身，约75%的网站首次进行了xss漏洞测试，67%的金融网站至少包含一个xss漏洞和55%的软件领域的网站。

veracode还在报告中首次检查了安卓应用程序。 这是因为组织必须考虑移动安全风险，因为更多的员工使用单独的设备访问企业资源。 veracode发现，移动开发人员经常犯和企业开发人员同样的错误，在应用程序中实施加密时行为轻率。 veracode发现，40%以上未通过初始测试的安卓应用程序至少有一个加密密钥实例被硬编码在应用程序中。

veracode先生说，存在着如果这些密钥泄露，依赖密钥机密性的安全机制就会失效的问题。

veracode还发现，打开后门的远程执行代码的漏洞和错误在业务软件中更为普遍。 veracode建议购买业务软件的组织事先决定测试这些问题。

在过去的18个月中，报告中的应用程序提交到了基于veracode的云应用程序安全测试平台。 根据veracode，在卷4中测试的应用程序数量是在卷3中测试的应用程序数量的两倍以上。

veracode说，该报告的目标之一是展示正在开发的常规测试以及开发人员培训所花的时间如何生成更安全的代码。 组织可以将安全测试集成到编码过程中，以确定对开发生命周期产生最小影响的基本错误。 据veracode称，超过80%的最初未通过veracode安全审核的应用程序被重新提交，并在一周内以可接受的水平通过。