克日,Veracode对逾13万份应用程序的分析表现,2020年,零售业和旅店行业修复软件缺陷的速度快于其他行业。 据悉,零售行业和旅店行业通过积分卡和会员账户的情势跟踪斲丧者的大量个人信息,并将第三方的营销数据整合到这些数据中,整个过程必要通过更多的软件来实现。 Web应用程序攻击是零售业遭受入侵的主要载体,其中约一半的入侵事件是使用了个人信息或支付数据。
一、零售业和旅店行业的软件漏洞修复 研究发现,零售业和旅店行业共约76%的应用程序存在至少一个缺陷,与金融服务、IT、医疗保健等行业领域相比,这一缺陷处于平均水平。 然而,在该76%的比例中,有26%的应用程序缺陷是必要告急关注的严峻题目——这在5大行业(零售业、旅店行业、金融服务、IT、医疗保健)中占据第二大比例。 研究表现,零售业和旅店行业在短短125天内,近一半的软件漏洞得到了修复,比排名第二的行业快了近一个月。在所有行业中,有一半的软件漏洞将会持续更长的时间,且大概永久不会被修复。 Veracode首席研究官Chris Eng表示:“零售业和旅店行业面临双重压力,一方面要成为网络攻击者的高价值目标,另一方面必要不断开辟出能够对客户做出高度相应并符合PCI等行业法规的软件。” 在处理与信息泄露和输入验证相干的题目时,零售业和旅店行业的开辟商比其他行业做得更好。使用api驱动的扫描和软件组合分析来扫描开源组件中的缺陷,为零售业的开辟团队提供了最大的改进机会。
二、封装缺陷、SQL注入与凭证管理题目 对于零售业和旅店行业来说,应用软件开辟环境是具有挑衅性的,由于它们的应用程序每每比其他行业面向的受众群体更广泛。 零售商、旅店需处理来自客户的很多个人隐私信息,因此,在软件开辟过程中,创建内部协议以保护客户数据非常重要,以便跟上隐私法规的变化。 研究发现,零售业领域的应用软件开辟人员都在为封装缺陷、SQL注入和证书管理题目而备受困扰。 对于软件开辟过程中的封装缺陷,有效阻止对受影响的应用程序、数据库和体系的访问是一个至关重要的步骤。 此外,及时有效备份用户的数据和个人信息也十分重要,有助于在应用软件遭到打单软件攻击时快速恢复正常的业务。 开辟人员可以通过将加密的密码存储在限定的位置并避免使用硬编码的凭据来降低凭据管理攻击的风险。与其他行业相比,零售业领域的开辟人员在软件扫描频率、静态扫描方面的竞争力较弱。 开辟人员可以应用DevSecOps实践,比如更频繁地扫描,使用多种范例的开辟测试,并改进扫描的节奏,以创建更安全的应用软件。 |
