Согласно новому отчёту компании WhiteHat Security, большинство веб-приложений имеют по меньшей мере две серьёзные уязвимости, а между обнаружением и устранением уязвимости проходят сотни дней — и это в лучшем случае. В худшем случае приложение останется уязвимым навсегда.
Отчёт основан на результатах изучения десятков тысяч сайтов, использующих сервис WheteHat Sentinel для анализа своей защищённости.
От уязвимостей страдают веб-приложения всех двенадцати отраслей, которые описаны в отчёте, но хуже всего обстоят дела у ИТ-компаний, у образовательных учреждений и у фирм, связанных с розничной торговлей. Их веб-приложения содержат наибольшее количество уязвимостей. Среднее значение этого показателя для ИТ, образования и розничной торговли составляет 17, 15 и 13 соответственно.
Уязвимости есть в 60% веб-приложений ИТ-компаний, 50% веб-приложений фирм, связанных с розничной торговлей, 47% медицинских веб-приложений, 41% веб-приложений финансовых сервисов и 40% банковских веб-приложений.
Дольше всего устраняют уязвимости компании, связанные с информационными технологиями или розничной торговлей. Для того, чтобы устранить уязвимость, ИТ-компаниям требуется в среднем 248 дней. У компаний, работающих в сфере розничной торговли, этот срок составляет 205 дней.
Компании девяти из двенадцати проанализированных в отчёте отраслей не справляются с устранением более чем половины найденных уязвимостей. В частности, ИТ-компании устраняют лишь 24% найденных уязвимостей, причём средний срок решения проблемы достигает 875 дней, то есть почти двух лет и пяти месяцев.
Доля устранённых уязвимостей сократилась для ИТ-компания (с 46% до 24%) и банков (с 52% до 42%). В то же время ситуация немного улучшилась в сфере финансовых сервисов и розничной торговли, где этот показатель вырос с 41% до 48% и с 42% до 48% соответственно.
Компании, которые работают в области производства, здравоохранения, страхования, а также в пищевой промышленности, стали прилагать для устранения уязвимостей значительные усилия, и это приносит плоды. Доля устранённых уязвимостей в этих отраслях поднялась с 34% до 66%, с 26% до 42%, с 26% до 44% и с 17% до 62% соответственно.
