所謂軟件安全債務，通常指修復時間延誤超過一年的漏洞，根據(jù)Veracode最新發(fā)布的軟件安全報告，42%的應用程序和71%的組織中普遍存在軟件安全債務，而AI生成代碼的激增將導致安全債務問題惡化并對軟件供應鏈構成重大風險。

更令人擔憂的是，46%的組織持續(xù)存在高危漏洞，這些漏洞構成“關鍵”安全債務，使企業(yè)在機密性、完整性和可用性方面面臨嚴重風險。

報告稱，63%的應用程序存在第一方代碼漏洞，而70%包含通過第三方庫引入的第三方代碼漏洞。這凸顯了在整個軟件開發(fā)生命周期中測試這兩種類型的代碼的重要性。修復率也因漏洞類型而異-修復第三方漏洞的時間要長50%，已知漏洞中只有一半在11個月后修復，而第一方漏洞則為7個月。

留神AI“屎山”

然而，也有好消息：應用程序中的高危漏洞數(shù)量自2016年以來減少了一半，這表明軟件安全實踐取得了進步，并且修復速度對關鍵安全債務產生了重大影響。

報告顯示，修復漏洞最快的開發(fā)團隊將關鍵安全債務減少了75%——應用程序高危漏洞從22.4%降低到略高于5%。此外，這些快速行動的團隊讓關鍵安全債務出現(xiàn)在其應用程序中的可能性要低四倍。

Veracode首席研究官Chris Eng說：“雖然安全狀況有所改善，但這些發(fā)現(xiàn)提醒組織必須正面解決其安全債務問題。通過優(yōu)先考慮漏洞修復、關注第三方代碼安全以及采用高效的開發(fā)實踐，組織可以顯著降低其安全債務并全面提升軟件整體安全狀態(tài)。”

在人工智能迅速改變軟件開發(fā)的時代，該報告強調了一個令人不安的趨勢。Eng表示：“盡管人工智能為軟件開發(fā)帶來了速度和效率，但它并不一定會產生安全的代碼，GitHubCopilot生成的代碼中有36%存在安全漏洞。”

這種AI生成的不安全代碼激增對組織和軟件供應鏈構成了重大風險，導致隨著時間的推移安全債務不斷累積。

AI有望打破“安全債”困局

該研究還發(fā)現(xiàn)，企業(yè)安全債務高企的主要原因是開發(fā)團隊的修復能力有限，只有64%的應用程序團隊具有消除關鍵安全債務的修復能力。

事實上，只有20%的應用程序平均每月修復率超過10%的安全漏洞。這表明，即使團隊的修復能力足夠，他們也不會優(yōu)先考慮關鍵漏洞。

盡管如此，應用安全取得的進步還是令人欣慰的。所有漏洞中只有3%屬于高風險漏洞。開發(fā)團隊只需優(yōu)先考慮這3%的漏洞，就可以事半功倍地大幅降低風險。

Eng指出：“人工智能有望幫助企業(yè)擺脫沉重的軟件安全債務問題，使組織能夠提高漏洞修復效率，更輕松地解決長期積累的安全債務以及新出現(xiàn)的漏洞。”