近日,Veracode对逾13万份应用程序的分析显示,2020年,零售业和酒店行业修复软件漏洞的速度快于其他行业。
据悉,零售行业和酒店行业通过积分卡和会员账户的形式跟踪消费者的大量个人信息,并将第三方的营销数据整合到这些数据中,整个过程需要通过更多的软件来实现。
Web应用程序攻击是零售业遭受入侵的主要载体,其中约一半的入侵事件是利用了个人信息或支付数据。
01、零售业和酒店行业的软件漏洞修复
研究发现,零售业和酒店行业共约76%的应用程序存在至少一个缺陷,与金融服务、IT、医疗保健等行业领域相比,这一缺陷处于平均水平。
然而,在该76%的比例中,有26%的应用程序缺陷是需要紧急关注的严重问题——这在5大行业(零售业、酒店行业、金融服务、IT、医疗保健)中占据第二大比例。
研究显示,零售业和酒店行业在短短125天内,近一半的软件漏洞得到了修复,比排名第二的行业快了近一个月。在所有行业中,有一半的软件漏洞将会持续更长的时间,且可能永远不会被修复。
Veracode首席研究官Chris Eng表示:“零售业和酒店行业面临双重压力,一方面要成为网络攻击者的高价值目标,另一方面需要不断开发出能够对客户做出高度响应并符合PCI等行业法规的软件。”
在处理与信息泄露和输入验证相关的问题时,零售业和酒店行业的开发商比其他行业做得更好。使用api驱动的扫描和软件组合分析来扫描开源组件中的缺陷,为零售业的开发团队提供了最大的改进机会。
02、封装缺陷、SQL注入与凭证管理问题
对于零售业和酒店行业来说,应用软件开发环境是具有挑战性的,因为它们的应用程序往往比其他行业面向的受众群体更广泛。
零售商、酒店需处理来自客户的许多个人隐私信息,因此,在软件开发过程中,创建内部协议以保护客户数据非常重要,以便跟上隐私法规的变化。
研究发现,零售业领域的应用软件开发人员都在为封装缺陷、SQL注入和证书管理问题而备受困扰。
对于软件开发过程中的封装缺陷,有效阻止对受影响的应用程序、数据库和系统的访问是一个至关重要的步骤。
此外,及时有效备份用户的数据和个人信息也十分重要,有助于在应用软件遭到勒索软件攻击时快速恢复正常的业务。
开发人员可以通过将加密的密码存储在限制的位置并避免使用硬编码的凭据来降低凭据管理攻击的风险。与其他行业相比,零售业领域的开发人员在软件扫描频率、静态扫描方面的竞争力较弱。
开发人员可以应用DevSecOps实践,比如更频繁地扫描,使用多种类型的开发测试,并改进扫描的节奏,以创建更安全的应用软件。
声明:本文来自E安全,版权归作者所有。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/42.html