零售商不能忽视软件安全
COVID-19 大流行颠覆了零售业并加速了数字化转型:2020 年在线零售激增,美国假日电子商务销售额同比增长了 49%。
面对如此庞大的数量,零售商的数字业务必须稳健且安全。 Web 应用程序需要满足客户对易用性和速度的需求,但所有漏洞中有 43% 是由应用程序层的漏洞造成的,因此这些应用程序的安全性至关重要。
随着在线零售的激增——以及相应地重视这些应用以增加收入——零售商可以从洞察保护他们的应用中受益。
Veracode 最近的软件安全状况报告 (SoSS) 强调了不同垂直行业(包括零售和酒店业)的应用程序中的漏洞频率。报告发现:
- 26% 的零售应用程序存在严重的安全漏洞
- 76% 的零售应用程序存在缺陷
- 74% 的零售缺陷正在得到修复
为了理解这些数据,我们可以将零售行业与其他行业进行比较,以了解零售商在保护应用程序和保护客户方面做得如何。有缺陷的零售应用程序的频率很高,每四个应用程序中有超过三个包含至少一个缺陷。尽管漏洞的普遍性令人生畏,但零售业的软件缺陷修复率最高,为 74%,仅次于金融服务业,为 75%,优于医疗保健、制造、技术和政府垂直行业。
与修复率的这种成功类似,零售商拥有最佳的缺陷修复速度,平均应用程序需要 125 天才能修复一半的已知缺陷。虽然零售和酒店业一开始存在比其他一些行业更多的缺陷,但开发人员会迅速挖掘并修复这些缺陷,以提高应用程序安全性并保护客户数据。
总体而言,零售业修复应用程序漏洞的有效性是有希望的。但在过去一年的背景下,这意味着什么?新常态影响了每个行业,并将业务进一步推向了数字领域,这意味着各地应用程序的流量都会增加。对于零售等行业尤其如此。
值得注意的是,SoSS 报告发现,55% 的严重零售和酒店缺陷都属于信息泄露的范畴。这种类型的缺陷如果被利用,可能会破坏客户对零售品牌的信任并损害品牌的声誉。最重要的是,随着越来越多的客户互动转移到网上,零售应用程序的安全性必须继续提高。组织必须迎接挑战,继续在整个软件开发生命周期中集成安全性,经常定期对其应用程序运行安全检查,并通过静态和动态分析使用多种类型的扫描来识别缺陷。
虽然应用安全团队应该努力继续提高修复速度,但零售业改善其安全状况的最佳方式之一是限制应用中的缺陷数量。
为正在构建和部署这些应用程序的开发人员提供安全教育将有助于实现这一目标。培训开发人员如何从一开始就避免常见安全漏洞并编写安全代码将减少新漏洞的数量,随着时间的推移,这反过来又会使修复现有漏洞变得更加容易。从那时起,零售组织中的 AppSec 计划将更好地准备处理更快的发布周期,而不会减慢开发人员的速度。
Chris Eng 是 Veracode 的首席研究官。
工业技术