2026 State of Application Security Report Recap: What the Data Says and What Security Teams Should Do About It

A recap of the 2026 State of Application Security Report, featuring insights from a CISO and a principal security researcher. Key findings: 78% of organizations run production apps with critical vulnerabilities, 77% leave high/critical CVEs unpatched after 90 days, 43% have exposed AI/ML credentials, and 11% run known malicious packages in production. The core argument is that AI-assisted development hasn't introduced new vulnerability classes — it has accelerated code velocity, causing existing hygiene controls (code review, branch protection, CI/CD gates) to be bypassed. The post also covers supply chain risks, the inadequacy of legacy secrets detection programs for AI tokens, and what distinguishes security teams that reduce risk from those that only generate alerts.

Nguồn: https://orca.security/resources/blog/state-of-appsec-2026-recap. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

daniel.haxx.se17 phút22 giờ trướcAI

a CVE dispute

Daniel Stenberg chia sẻ về lần tranh chấp đầu tiên liên quan đến CVE của dự án curl kể từ khi trở thành CVE Numbering Authority (CNA). Một phóng viên báo cáo lỗi wildcard certificate matching khi hostname có dấu chấm đầu tiên (tên DNS bất hợp pháp), đòi hỏi điều kiện tấn công rất cụ thể. Nhóm curl đã sửa lỗi nhưng từ chối gán CVE vì xếp mức độ nguy hiểm thấp hơn "LOW". Sau khi phóng viên khiếu nại lên MITRE, tổ chức này đã ba lần liên hệ nhưng cuối cùng vào ngày 24/6, MITRE xác nhận quyết định không cấp CVE. Bài viết cũng nhấn mạnh chi phí thực tế của CVEs khi libcurl có ~30 tỷ lượt cài đặt và lý do nhóm không muốn gây xáo trộn không cần thiết trong hệ sinh thái.

Bạn nên đọc bài này để hiểu cách các dự án công cộng như curl xử lý tranh chấp về CVE, từ đó tránh những rủi ro về quản lý thông tin bảo mật và hiệu quả trong việc phát triển phần mềm.

#security