59% 公共部门的应用程序长期存在安全漏洞

根据 Veracode 的数据显示，公共部门使用的应用程序比私营部门创建的应用程序存在更多的安全漏洞。

Veracode  在一份报告中，详细调查分析了全球超过 25 个国家的公共部门组织，最终发现 59% 的公共部门应用程序存在安全漏洞（超过一年仍未修复的安全漏洞）。值得一提的是，把调查对象扩展到社会各个行业面上，这一比例为 42%。

Veracode 首席研究员 Chris Eng 表示，数十年来，为政府服务的应用程序中，未打补丁的软件和糟糕的安全配置累积了大量安全漏洞。如果相关方面一直不采取系统性、持续性的保护措施查找、修复安全漏洞，公共部门就会面临遭受黑客攻击的安全风险。

政府系统面临日益严重的网络攻击威胁

随着威胁网络犯罪分子以更具破坏性、颠覆性的攻击技术”瞄准“公共部门组织，联邦政府系统正日益受到网络攻击。对此，联邦政府正在实施一系列加强网络安全的举措，努力政府部门使用的应用程序中存在的安全风险。

2024 年 3 月，网络安全和基础设施安全局  CISA 与管理和预算办公室  OMB 联合发布了《安全软件开发声明表》，要求联邦政府的供应商对不安全的软件负责。

Veracode 研究人员还发现，虽然公共部门机构（68%）的安全漏洞略少于其他行业，但这些部门经过很多年的”积累“，往往存在更多的安全漏洞。调查显示，公共组织使用的应用程序中只有 3% 的不存在漏洞，而其他行业的这一比例为 6%。

更令人担忧的是，40% 的公共部门机构存在持续久、严重程度大、影响范围广的安全漏洞，这些漏洞交织在一起，构成政府机构的安全"债务"，一旦被威胁攻击者利用，企业的保密性、完整性和可用性将面临严重安全风险。

Eng 指出，公共部门组织存在的所有安全漏洞中，有三分之二存在不到一年，或者严重程度并不严重。此外，在所有安全漏洞中，只有不到 1%的漏洞构成关键安全”债务“，通过集中精力优先处理这些安全”债务“，企业可以最大限度地降低风险，然后再根据自身的风险承受能力和能力处理非关键漏洞。

公共部门的安全”债务“主要集中在旧版应用程序中

报告显示，公共部门的安全”债务“主要影响第一方代码（93%），但大部分关键安全”债务“来自第三方依赖（55.5%），这种情况就迫使公共部门必须重视开源安全软件倡议（OS3I）的重要性，并且要求各组织需要关注第一和第三方代码，以有效减少安全”债务“。

安全研究进一步表明，公共部门的担保”债务“主要集中在申请时间较长、规模较大的申请中 （22%）。关键安全”债务“（30%）尤其如此，这就证实了应用程序使用年限与安全”债务“积累之间的相关性。

此外，研究人员还比较了不同开发语言的安全”债务“状况，发现 Java 和 .NET 应用程序是公共部门的重要债务来源。公共部门的软件安全现状进一步说明了将安全设计作为整个网络连接世界的标准方法的重要性。

原文来自: freebuf.com