أظهرت دراسة جديدة أن كل تطبيق تقريبًا يحتوي على ثغرة أمنية واحدة على الأقل أو تكوين خاطئ يؤثر على الأمان، وقد وجدت ربع اختبارات التطبيقات ثغرة أمنية شديدة الخطورة أو خطيرة.
تصدرت إعدادات SSL وTLS الضعيفة، ورأس سياسة أمان المحتوى (CSP)، وتسرب المعلومات من خلال لافتات الخادم قائمة مشكلات البرامج ذات الآثار الأمنية، وفقًا للنتائج التي توصلت إليها مجموعة أدوات البرمجيات والأجهزة، تقرير لقطة ثغرات البرامج 2022 الجديد الصادر اليوم عن شركة Synopsys. . في حين أن العديد من التكوينات الخاطئة ونقاط الضعف تعتبر متوسطة الخطورة أو أقل، فإن 25% منها على الأقل تم تصنيفها بأنها شديدة الخطورة أو خطيرة.
يقول راي كيلي، وهو زميل في Software Integrity Group في Synopsys، إن مشكلات التكوين غالبًا ما يتم وضعها في مجموعة أقل خطورة، لكن مشكلات التكوين والتشفير على حد سواء تنطوي على نفس القدر من الخطورة.
ويقول: "يشير هذا حقًا إلى أنه على الرغم من أن المؤسسات قد تقوم بعمل جيد في إجراء عمليات فحص ثابتة لتقليل عدد ثغرات التشفير، إلا أنها لا تأخذ التكوين في الاعتبار، حيث قد يكون الأمر أكثر صعوبة". "لسوء الحظ، لا يمكن لعمليات فحص اختبار أمان التطبيقات الثابتة (SAST) إجراء فحوصات التكوين حيث [ليس لديهم] أي معرفة ببيئة الإنتاج حيث سيتم نشر التعليمات البرمجية."
تجادل البيانات حول فوائد استخدام أدوات متعددة لتحليل البرامج بحثًا عن نقاط الضعف والتكوينات الخاطئة.
على سبيل المثال، اكتشفت اختبارات الاختراق 77% من مشكلات تكوين SSL/TLS الضعيفة، بينما اكتشف اختبار أمان التطبيقات الديناميكي (DAST) المشكلة في 81% من الاختبارات. أدت كلتا التقنيتين، بالإضافة إلى اختبار أمان تطبيقات الهاتف المحمول (MAST)، إلى اكتشاف المشكلة في 82% من الاختبارات. بحسب تقرير سينوبسيس.
وقد وثقت شركات أمن التطبيقات الأخرى نتائج مماثلة. على مدى العقد الماضي، على سبيل المثال، تم فحص عدد أكبر من التطبيقات ثلاث مرات، ويتم فحص كل تطبيق 20 مرة بشكل متكرر أكثر، فيراكود جاء ذلك في تقريرها عن "حالة أمن البرمجيات" في فبراير. في حين وجد هذا التقرير أن 77% من مكتبات الطرف الثالث لم تقم بعد بإزالة الثغرة الأمنية التي تم الكشف عنها بعد ثلاثة أشهر من الإبلاغ عن المشكلة، إلا أنه تم تطبيق التعليمات البرمجية المصححة بشكل أسرع ثلاث مرات.
وذكرت شركة Veracode أن شركات البرمجيات التي تستخدم المسح الديناميكي والثابت عالجت نصف العيوب بشكل أسرع بـ 24 يومًا.
"لقد أصبح الاختبار المستمر والتكامل، الذي يتضمن الفحص الأمني في خطوط الأنابيب، هو القاعدة" ذكرت الشركة في منشور مدونة في ذلك الوقت.
ليس فقط SAST، وليس فقط DAST
أصدرت شركة Synopsys بيانات من مجموعة متنوعة من الاختبارات المختلفة، ولكل منها مخالفون كبار متشابهون. على سبيل المثال، تصدرت التكوينات الضعيفة لتقنية التشفير - أي طبقة المقابس الآمنة (SSL) وأمن طبقة النقل (TLS) - المخططات الخاصة باختبارات أمان التطبيقات الثابتة والديناميكية والمتنقلة.
ومع ذلك، فإن القضايا بدأت تتباعد أكثر في أسفل القوائم. حددت اختبارات الاختراق سياسات كلمات المرور الضعيفة في ربع التطبيقات والبرمجة النصية عبر المواقع في 22%، في حين حددت DAST التطبيقات التي تفتقر إلى مهلة كافية للجلسة في 38% من الاختبارات وتلك المعرضة للنقر في 30% من الاختبارات.
يقول كيلي من Synopsys إن الاختبارات الثابتة والديناميكية، بالإضافة إلى تحليل تكوين البرامج (SCA)، تتمتع جميعها بمزايا ويجب استخدامها معًا للحصول على أكبر فرصة لاكتشاف التكوينات الخاطئة ونقاط الضعف المحتملة.
ويقول: "ومع ذلك، فإن اتباع نهج شامل يستغرق وقتًا وموارد وأموالًا، لذلك قد لا يكون هذا ممكنًا بالنسبة للعديد من المنظمات". "إن تخصيص الوقت لتصميم الأمان في العملية يمكن أن يساعد أيضًا في العثور على أكبر عدد ممكن من الثغرات الأمنية والقضاء عليها - أيًا كان نوعها - على طول الطريق بحيث يكون الأمان استباقيًا ويتم تقليل المخاطر."
بشكل عام، قامت الشركة بجمع البيانات من حوالي 4,400 اختبار على أكثر من 2,700 برنامج. وكانت البرمجة النصية عبر المواقع هي أعلى الثغرة الأمنية عالية الخطورة، حيث تمثل 22% من الثغرات المكتشفة، في حين كان حقن SQL فئة الثغرات الأكثر أهمية، حيث يمثل 4%.
مخاطر سلسلة توريد البرمجيات
مع البرمجيات مفتوحة المصدر التي تضم ما يقرب من 80٪ من قواعد التعليمات البرمجية، ليس من المفاجئ أن 81% من قواعد التعليمات البرمجية بها ثغرة أمنية واحدة على الأقل وأن 85% أخرى بها مكون مفتوح المصدر مضى عليه أربع سنوات.
ومع ذلك، وجدت سينوبسيس أنه على الرغم من هذه المخاوف، فإن نقاط الضعف في أمن سلسلة التوريد ومكونات البرمجيات مفتوحة المصدر تمثل حوالي ربع المشكلات فقط. وقال التقرير إن مكتبات الطرف الثالث الضعيفة المستخدمة في فئة نقاط الضعف الأمنية تم الكشف عنها في 21% من اختبارات الاختراق و27% من اختبارات التحليل الثابتة.
يقول كيلي إن أحد أسباب انخفاض الثغرات الأمنية في مكونات البرامج عن المتوقع قد يرجع إلى أن تحليل تكوين البرامج (SCA) أصبح مستخدمًا على نطاق أوسع.
يقول: "يمكن العثور على هذه الأنواع من المشكلات في المراحل الأولى من دورة حياة تطوير البرمجيات (SDLC)، مثل مرحلتي التطوير وDevOps، مما يقلل من العدد الذي يصل إلى مرحلة الإنتاج".
