Næsten alle applikationer har mindst én sårbarhed eller fejlkonfiguration, der påvirker sikkerheden, og en fjerdedel af applikationstestene fandt en meget eller kritisk alvorlig sårbarhed, viser en ny undersøgelse.
Svag SSL- og TLS-konfiguration, manglende Content Security Policy (CSP)-header og informationslækage gennem serverbannere toppede listen over softwareproblemer med sikkerhedsimplikationer ifølge resultater i software- og hardwareværktøjskonglomeratet Synopsys' nye Software Vulnerabilities Snapshot 2022-rapport offentliggjort i dag . Mens mange af fejlkonfigurationerne og sårbarhederne anses for at være af middel sværhedsgrad eller mindre, vurderes mindst 25 % som meget eller kritisk alvorlige.
Konfigurationsproblemer bliver ofte lagt i en mindre alvorlig bøtte, men både konfigurations- og kodningsproblemer er lige så risikable, siger Ray Kelly, en fellow i Software Integrity Group hos Synopsys.
"Dette peger egentlig bare på, at [mens] organisationer måske gør et godt stykke arbejde med at udføre statiske scanninger for at sænke antallet af kodningssårbarheder, tager de ikke højde for konfiguration, da det kan være vanskeligere," siger han. "Desværre kan statiske applikationssikkerhedstest (SAST)-scanninger ikke udføre konfigurationstjek, da [de] ikke har kendskab til produktionsmiljøet, hvor koden vil blive implementeret."
Dataene argumenterer for fordelene ved at bruge flere værktøjer til at analysere software for sårbarheder og fejlkonfigurationer.
Penetrationstests opdagede for eksempel 77 % af de svage SSL/TLS-konfigurationsproblemer, mens dynamisk applikationssikkerhedstest (DAST) opdagede problemet i 81 % af testene. Begge teknologier plus mobilapplikationssikkerhedstest (MAST) førte til, at problemet blev opdaget i 82 % af testene, ifølge Synopsys-rapporten.
Andre applikationssikkerhedsfirmaer har dokumenteret lignende resultater. I løbet af det seneste årti er der f.eks. blevet scannet tre gange flere applikationer, og hver enkelt bliver scannet 20 gange hyppigere, Veracode udtalte i sin "State of Software Security"-rapport i februar. Mens denne rapport viste, at 77 % af tredjepartsbiblioteker stadig ikke havde elimineret en afsløret sårbarhed tre måneder efter, at problemet blev rapporteret, blev patchet kode anvendt tre gange hurtigere.
Softwarefirmaer, der bruger dynamisk og statisk scanning i fællesskab, udbedrede halvdelen af fejlene 24 dage hurtigere, udtalte Veracode.
"Kontinuerlig test og integration, som inkluderer sikkerhedsscanning i pipelines, er ved at blive normen," oplyste firmaet i et blogindlæg dengang.
Ikke bare SAST, ikke bare DAST
Synopsys udgav data fra en række forskellige tests, hvor hver især havde lignende topforbrydere. Svage konfigurationer af krypteringsteknologi - nemlig Secure Sockets Layer (SSL) og Transport Layer Security (TLS) - toppede for eksempel diagrammerne for statiske, dynamiske og mobile applikationssikkerhedstests.
Alligevel viser problemerne sig længere nede på listerne. Penetrationstests identificerede svage adgangskodepolitikker i en fjerdedel af applikationerne og cross-site scripting i 22 %, mens DAST identificerede applikationer, der manglede passende sessionstimeouts i 38 % af testene, og dem, der var sårbare over for clickjacking i 30 % af testene.
Statisk og dynamisk test samt softwaresammensætningsanalyse (SCA) har alle fordele og bør bruges sammen for at have den højeste chance for at opdage potentielle fejlkonfigurationer og sårbarheder, siger Kelly fra Synopsys.
"Når det er sagt, tager en holistisk tilgang tid, ressourcer og penge, så det er måske ikke muligt for mange organisationer," siger han. "At tage sig tid til at designe sikkerhed i processen kan også hjælpe med at finde og eliminere så mange sårbarheder som muligt - uanset deres type - undervejs, så sikkerheden er proaktiv og risikoen reduceres."
Samlet set indsamlede virksomheden data fra næsten 4,400 test på mere end 2,700 programmer. Cross-site scripting var den største højrisikosårbarhed, der tegnede sig for 22 % af de opdagede sårbarheder, mens SQL-injektion var den mest kritiske sårbarhedskategori, der tegnede sig for 4 %.
Farer i softwareforsyningskæden
Med open source software bestående af næsten 80 % af kodebaserne, er det ikke overraskende, at 81 % af kodebaserne har mindst én sårbarhed, og yderligere 85 % har en open source-komponent, der er fire år forældet.
Alligevel fandt Synopsys ud af, at på trods af disse bekymringer udgjorde sårbarheder i forsyningskædesikkerhed og open source-softwarekomponenter kun omkring en fjerdedel af problemerne. Kategorien sårbare tredjepartsbiblioteker i brug af sikkerhedssvagheder blev afsløret i 21 % af penetrationstestene og 27 % af de statiske analysetests, hedder det i rapporten.
En del af årsagen til de lavere end forventet sårbarheder i softwarekomponenter kan skyldes, at softwaresammensætningsanalyse (SCA) er blevet mere udbredt, siger Kelly.
"Denne typer problemer kan findes i de tidlige stadier af softwareudviklingens livscyklus (SDLC), såsom udviklings- og DevOps-faserne, hvilket reducerer antallet, der kommer i produktion," siger han.
