প্রায় প্রতিটি অ্যাপ্লিকেশনের অন্তত একটি দুর্বলতা বা ভুল কনফিগারেশন রয়েছে যা নিরাপত্তাকে প্রভাবিত করে এবং এক চতুর্থাংশ অ্যাপ্লিকেশন পরীক্ষায় একটি উচ্চ বা সমালোচনামূলকভাবে গুরুতর দুর্বলতা পাওয়া গেছে, একটি নতুন গবেষণা দেখায়।
দুর্বল SSL এবং TLS কনফিগারেশন, অনুপস্থিত বিষয়বস্তু নিরাপত্তা নীতি (CSP) শিরোনাম, এবং সার্ভার ব্যানারের মাধ্যমে তথ্য ফাঁস নিরাপত্তা প্রভাব সহ সফ্টওয়্যার সমস্যার তালিকার শীর্ষে রয়েছে, সফ্টওয়্যার এবং হার্ডওয়্যার সরঞ্জামগুলির সমষ্টি Synopsys-এর নতুন সফ্টওয়্যার দুর্বলতা স্ন্যাপশট 2022 রিপোর্টের ফলাফল অনুসারে . যদিও অনেকগুলি ভুল কনফিগারেশন এবং দুর্বলতাগুলিকে মাঝারি তীব্রতা বা তার কম বলে মনে করা হয়, কমপক্ষে 25% উচ্চ বা সমালোচনামূলকভাবে রেট করা হয়।
কনফিগারেশন সমস্যাগুলি প্রায়শই কম গুরুতর বালতিতে রাখা হয়, তবে কনফিগারেশন এবং কোডিং উভয় সমস্যাই সমান ঝুঁকিপূর্ণ, সিনোপসিসের সফ্টওয়্যার ইন্টিগ্রিটি গ্রুপের একজন ফেলো রে কেলি বলেছেন।
"এটি সত্যিই নির্দেশ করে যে, [যদিও] সংস্থাগুলি কোডিং দুর্বলতার সংখ্যা কমাতে স্ট্যাটিক স্ক্যান করে একটি ভাল কাজ করছে, তারা কনফিগারেশনকে বিবেচনায় নিচ্ছে না, কারণ এটি আরও কঠিন হতে পারে," তিনি বলেছেন। "দুর্ভাগ্যবশত, স্ট্যাটিক অ্যাপ্লিকেশান সিকিউরিটি টেস্টিং (SAST) স্ক্যানগুলি কনফিগারেশন চেক করতে পারে না কারণ [তাদের] প্রোডাকশন এনভায়রনমেন্ট সম্পর্কে কোন জ্ঞান নেই যেখানে কোডটি স্থাপন করা হবে।"
ডেটা দুর্বলতা এবং ভুল কনফিগারেশনের জন্য সফ্টওয়্যার বিশ্লেষণ করতে একাধিক সরঞ্জাম ব্যবহার করার সুবিধার জন্য যুক্তি দেয়।
অনুপ্রবেশ পরীক্ষা, উদাহরণস্বরূপ, দুর্বল SSL/TLS কনফিগারেশন সমস্যাগুলির 77% সনাক্ত করেছে, যখন ডায়নামিক অ্যাপ্লিকেশন সিকিউরিটি টেস্টিং (DAST) 81% পরীক্ষায় সমস্যাটি সনাক্ত করেছে। উভয় প্রযুক্তি, প্লাস মোবাইল অ্যাপ্লিকেশন সিকিউরিটি টেস্টিং (MAST), 82% পরীক্ষায় সমস্যাটি আবিষ্কৃত হয়েছে, Synopsys রিপোর্ট অনুযায়ী.
অন্যান্য অ্যাপ্লিকেশন নিরাপত্তা সংস্থাগুলি অনুরূপ ফলাফল নথিভুক্ত করেছে। গত এক দশকে, উদাহরণস্বরূপ, তিনগুণ বেশি অ্যাপ্লিকেশন স্ক্যান করা হয়েছে এবং প্রতিটি 20 গুণ বেশি ঘন ঘন স্ক্যান করা হয়েছে, ভেরাকোড ফেব্রুয়ারিতে তার "স্টেট অফ সফটওয়্যার সিকিউরিটি" রিপোর্টে বলা হয়েছে. যদিও সেই রিপোর্টে দেখা গেছে যে 77% তৃতীয় পক্ষের লাইব্রেরি এখনও সমস্যাটি রিপোর্ট করার তিন মাস পরেও একটি প্রকাশ করা দুর্বলতা দূর করতে পারেনি, প্যাচড কোড তিনগুণ দ্রুত প্রয়োগ করা হয়েছিল।
যে সফ্টওয়্যার সংস্থাগুলি কনসার্টে গতিশীল এবং স্ট্যাটিক স্ক্যানিং ব্যবহার করে তারা 24 দিন দ্রুত অর্ধেক ত্রুটিগুলি সমাধান করে, ভেরাকোড জানিয়েছে।
"নিরবিচ্ছিন্ন পরীক্ষা এবং ইন্টিগ্রেশন, যার মধ্যে পাইপলাইনে নিরাপত্তা স্ক্যানিং রয়েছে, আদর্শ হয়ে উঠছে," সেই সময়ে একটি ব্লগ পোস্টে ফার্মটি জানিয়েছে.
শুধু SAST নয়, শুধু DAST নয়
Synopsys বিভিন্ন পরীক্ষা থেকে তথ্য প্রকাশ করেছে যার প্রত্যেকটিতে একই রকম শীর্ষ অপরাধী রয়েছে। এনক্রিপশন প্রযুক্তির দুর্বল কনফিগারেশন — যেমন, সিকিউর সকেট লেয়ার (SSL) এবং ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS) — স্ট্যাটিক, ডাইনামিক, এবং মোবাইল অ্যাপ্লিকেশন সিকিউরিটি পরীক্ষার জন্য চার্টে শীর্ষে রয়েছে, উদাহরণস্বরূপ।
তবুও, ইস্যু তারকা তালিকার নিচে আরও বিচ্যুত. অনুপ্রবেশ পরীক্ষাগুলি 22% অ্যাপ্লিকেশানগুলির এক চতুর্থাংশে দুর্বল পাসওয়ার্ড নীতি এবং ক্রস-সাইট স্ক্রিপ্টিং সনাক্ত করেছে, যখন DAST 38% পরীক্ষায় পর্যাপ্ত সেশন টাইমআউটের অভাব এবং 30% পরীক্ষায় ক্লিকজ্যাকিংয়ের জন্য ঝুঁকিপূর্ণ অ্যাপ্লিকেশনগুলি সনাক্ত করেছে৷
স্থির এবং গতিশীল পরীক্ষার পাশাপাশি সফ্টওয়্যার রচনা বিশ্লেষণ (SCA) সকলেরই সুবিধা রয়েছে এবং সম্ভাব্য ভুল কনফিগারেশন এবং দুর্বলতা সনাক্ত করার সর্বোচ্চ সুযোগ পাওয়ার জন্য একসাথে ব্যবহার করা উচিত, Synopsys-এর কেলি বলেছেন।
"এটি বলার পরে, একটি সামগ্রিক পদ্ধতির জন্য সময়, সংস্থান এবং অর্থ লাগে, তাই এটি অনেক সংস্থার পক্ষে সম্ভব নাও হতে পারে," তিনি বলেছেন। "প্রক্রিয়ার মধ্যে নিরাপত্তা ডিজাইন করার জন্য সময় নেওয়াও যতটা সম্ভব দুর্বলতা খুঁজে পেতে এবং দূর করতে সাহায্য করতে পারে - সেগুলির ধরন যাই হোক না কেন - পথে যাতে নিরাপত্তা সক্রিয় থাকে এবং ঝুঁকি হ্রাস পায়।"
সামগ্রিকভাবে কোম্পানি 4,400টিরও বেশি প্রোগ্রামে প্রায় 2,700টি পরীক্ষা থেকে তথ্য সংগ্রহ করেছে। ক্রস-সাইট স্ক্রিপ্টিং ছিল শীর্ষ উচ্চ-ঝুঁকির দুর্বলতা, আবিষ্কৃত দুর্বলতার 22% জন্য দায়ী, যখন SQL ইনজেকশন ছিল সবচেয়ে জটিল দুর্বলতার বিভাগ, 4% এর জন্য অ্যাকাউন্টিং।
সফটওয়্যার সাপ্লাই চেইন বিপদ
ওপেন সোর্স সফটওয়্যার সহ কোডবেসের প্রায় 80%, এটা সামান্য আশ্চর্যের বিষয় যে 81% কোডবেসের অন্তত একটি দুর্বলতা রয়েছে এবং অন্য 85%-এর একটি ওপেন-সোর্স উপাদান রয়েছে যা চার বছর পুরানো।
তবুও, Synopsys খুঁজে পেয়েছে যে, এই উদ্বেগ সত্ত্বেও, সরবরাহ-চেইন নিরাপত্তা এবং ওপেন-সোর্স সফ্টওয়্যার উপাদানগুলির দুর্বলতাগুলি প্রায় এক চতুর্থাংশ সমস্যার জন্য দায়ী। প্রতিবেদনে বলা হয়েছে, দুর্বল থার্ড-পার্টি লাইব্রেরি ইন ইউজ ক্যাটাগরিতে নিরাপত্তা দুর্বলতার 21% অনুপ্রবেশ পরীক্ষা এবং 27% স্ট্যাটিক বিশ্লেষণ পরীক্ষায় উন্মোচিত হয়েছে।
সফ্টওয়্যার উপাদানগুলিতে প্রত্যাশিত-অপ্রত্যাশিত দুর্বলতার কারণের একটি অংশ হতে পারে কারণ সফ্টওয়্যার রচনা বিশ্লেষণ (SCA) আরও ব্যাপকভাবে ব্যবহৃত হয়েছে, কেলি বলেছেন।
"এই ধরনের সমস্যাগুলি সফ্টওয়্যার ডেভেলপমেন্ট লাইফসাইকেলের (SDLC) প্রাথমিক পর্যায়ে পাওয়া যেতে পারে, যেমন ডেভেলপমেন্ট এবং DevOps পর্যায়, যা এটিকে উৎপাদনে পরিণত করার সংখ্যা হ্রাস করে," তিনি বলেছেন।
