第三方組件可不總是你想象的那樣，即省時省力又省成本的利器

應用安全公司Veracode一項新研究顯示，幾乎全部(97%)Java應用都包含至少1個帶已知漏洞的組件。

Veracode報告公司企業所寫代碼的逐年改進情況，某種程度上，是對不斷增長的開源和第三方組件使用風險的積極發現。一個帶關鍵漏洞的流行組件，可擴散至80000多個其他軟件組件中，然后又用到可能數百萬個軟件項目的開發過程中。

軟件開發中開源組件的廣泛使用，正在公司企業間制造不受控的系統性風險。

Veracode報告還凸顯了軟件開發中的進步和依然留存的困難。3/5(60%)的應用程序在***輪掃描中就不滿足安全策略。

安全軟件開發的***實踐正在興起，但仍未流行到能在整個軟件開發市場上舉足輕重的程度。

一個積極的改進，來自于更前瞻性的公司給予開發人員更多權力進行安全改善。比如說，如果開發人員在質量保障測試之前使用沙箱技術掃描App，修復率就會倍增。

開發人員培訓甚至能形成更好的效果。修復指導和在線學習之類的***實踐，可以極大改善漏洞修復率，某些情況下，可達原修復率表現的6倍。

開發運維實踐正植根于設立了成熟應用安全方案的產業***之間。有些應用每天都被掃描數遍。每應用平均安全測試率是7次，有些應用被掃描600-700次，將安全融合進開發運維過程，可以為企業在不減緩軟件開發的情況下減少風險貢獻良多。

盡管某些方面有所改善，Web應用依然脆弱：經Veracode工具測試的Web應用中，超過半數受錯誤配置的安全通信或其他安全防御缺陷的影響。

Veracode的第7期《軟件安全狀態報告》，使用Veracode的代碼審計工具，在300000次評估中，對去過1年半里的數十億行代碼，進行了代碼級分析，給出了各項評估標準和數據。