Veracodeの最新のState of Software Security(SoSS)レポートによると、ソフトウェアのセキュリティ脆弱性の平均修正時間は8.5カ月に増加し、過去5年間で47%増となりました。
平均修正時間は15年前と比べても327%高くなっており、その主な要因はサードパーティコードへの依存の増加と、AI生成コードの利用です。
全組織の半数(50%)が重大なセキュリティ負債を抱えています。これは、高深刻度の脆弱性が1年以上放置されて蓄積した状態と定義されています。
この重大なセキュリティ負債の3分の2以上(70%)は、サードパーティコードとソフトウェアサプライチェーンに起因しています。
全組織のおよそ4分の3(74.2%)が、深刻度の低い欠陥を含む何らかのセキュリティ負債を抱えています。
Veracodeのチーフ・セキュリティ・エバンジェリストであるChris Wysopal氏は次のようにコメントしています。「攻撃対象領域はますます複雑化しており、特にここ数年はAIエンジニアリングの爆発的拡大によって顕著です。昨年のレポートでは、組織の46%が高深刻度のセキュリティ負債を抱えていることが分かりました。前年比の増加はわずかに見えるかもしれませんが、方向性としては悪化しています。」
分析では、ソフトウェアの欠陥を発見し修正する能力において、組織の成熟度レベル間で大きな差があることも明らかになりました。
上位25%は毎月ソフトウェア欠陥の10%以上を修正できた一方、下位25%は毎月1%未満の脆弱性しか修正できませんでした。
さらに、パフォーマンス上位25%の組織ではセキュリティ負債があるアプリは17%未満であるのに対し、下位25%では67%を超えるアプリにセキュリティ負債が存在します。
研究者らは、126.4百万件の生の検出結果を含む130万件のユニークなアプリケーションを分析しました。
アプリケーションの半数超に重大な脆弱性が含まれる
新しいレポートでは、アプリの半数超(56%)に高深刻度のセキュリティ脆弱性が含まれており、80.3%には何らかの欠陥が含まれていることが分かりました。
アプリのおよそ3分の2(64%)にはファーストパーティコードの欠陥があり、70%のアプリにはサードパーティコードの欠陥があります。
心強いことに、OWASP Top 10の脆弱性リストに含まれる欠陥を一切含まないアプリの割合は、過去5年間で63%増加し、2020年の32%から2025年には52%へと上昇しました。
SANS InstituteのTop 25ソフトウェアエラー一覧に含まれる欠陥を含むアプリも、着実に減少しています。
Veracodeの評価システムによると、高深刻度の欠陥の発生率は2016年以降で半減しています。
翻訳元: https://www.infosecurity-magazine.com/news/software-vulnerabilities-nine/
