应用程序安全公司Veracode的一份报告发现,大多数部门对其Web和移动应用程序的行业标准安全测试均未通过,但政府最糟糕的是失败。
最令人惊讶的是,政府的申请表现不佳。修复它们的可能性很小。
报告称,政府机构解决的问题不到所有发现的问题的3分之1。通过比较,金融服务固定81% 其问题,而制造业固定65%。
与42% 年的金融服务相比,只有24% 的政府机构应用程序通过了安全测试。随后在35% 制造,如下在报告的ps中所示。
点击放大
然而,有趣的是,制造业每单位可执行编码的安全问题最集中,几乎是政府集中度的两倍。
该报告是在网络安全攻击暴露了数百万联邦雇员的个人信息之后的几周。就在一个月前,一名联邦法官裁定,塔吉特必须向其大规模安全漏洞的受害者支付数百万美元。
Veracode从其对客户 (包括联邦和州机构) 进行的200,000多个测试中收集了数据。Veracode的联合创始人兼首席技术官Chris Wysopal表示,该公司保留分析和发布匿名客户数据以发布公开调查结果并提出解决方案的权利。
Veracode的计算机网络对其客户发起模拟攻击,以发现缺陷并提出解决方案。
点击放大
“[解决方案] 的一部分将是愿意采用基于风险的方法而不是合规性。为了查看不同的漏洞并修复它们,他们基于这样的思考: “这对我们的组织和我们拥有的数据构成什么风险?”Wysopal说。他说,预算问题是一个促成因素,但合同不足也是罪魁祸首。Wysopal建议政府机构在合同中包含语言,要求他们解决将来发现的问题。
巴拉克·奥巴马 (Barack Obama) 总统最近提议增加政府的2016网络安全预算,将其提高了10亿美元至140亿美元。
国土安全部和特勤局都没有立即回复置评电话。