Peaaegu igal rakendusel on vähemalt üks haavatavus või vale konfiguratsioon, mis mõjutab turvalisust, ja veerand rakenduse testidest leiti väga või kriitiliselt tõsise haavatavuse, näitab uus uuring.
Nõrk SSL-i ja TLS-i konfiguratsioon, puuduv sisuturbepoliitika (CSP) päis ja teabeleke serveri bännerite kaudu on turvamõjuga tarkvaraprobleemide nimekirja esikohal, selgus täna avaldatud tarkvara- ja riistvaratööriistade konglomeraadi Synopsys uues tarkvarahaavatavuste ülevaate 2022 aruandest. . Kuigi paljusid väärkonfiguratsioone ja turvaauke peetakse keskmise või väiksema raskusastmeks, on vähemalt 25% hinnatud väga või kriitiliselt tõsiseks.
Konfiguratsiooniprobleemid on sageli vähem tõsised, kuid nii konfiguratsiooni- kui ka kodeerimisprobleemid on võrdselt riskantsed, ütleb Ray Kelly, Synopsysi tarkvara terviklikkuse rühma liige.
"See lihtsalt viitab sellele, et [ehkki] organisatsioonid võivad teha head tööd staatilise skaneerimisega, et vähendada kodeerimishaavatavuste arvu, ei võta nad konfiguratsiooni arvesse, kuna see võib olla keerulisem," ütleb ta. "Kahjuks ei saa staatilise rakenduste turbetesti (SAST) skannid konfiguratsiooni kontrollida, kuna [neil] pole teadmisi tootmiskeskkonnast, kus kood juurutatakse."
Andmed räägivad mitme tööriista kasutamise eelistest, et analüüsida tarkvara haavatavust ja valesid konfiguratsioone.
Näiteks läbitungimistestid tuvastasid 77% nõrkade SSL/TLS-i konfiguratsiooniprobleemidest, samas kui dünaamiline rakenduste turbetest (DAST) tuvastas probleemi 81% testidest. Mõlemad tehnoloogiad ja mobiilirakenduste turbetestid (MAST) viisid selleni, et probleem avastati 82% testidest, Synopsysi aruande kohaselt.
Teised rakenduste turvafirmad on sarnaseid tulemusi dokumenteerinud. Näiteks viimase kümnendi jooksul skannitakse kolm korda rohkem rakendusi ja igaühte 20 korda sagedamini, Veracode teatas oma veebruaris avaldatud aruandes "Tarkvara turvalisuse olukord".. Kuigi selles aruandes leiti, et 77% kolmandate osapoolte raamatukogudest polnud kolm kuud pärast probleemist teatamist ikka veel avalikustatud haavatavust kõrvaldanud, rakendati paigakoodi kolm korda kiiremini.
Tarkvarafirmad, kes kasutavad dünaamilist ja staatilist skannimist koos, kõrvaldasid pooled vead 24 päeva kiiremini, teatas Veracode.
"Pidev testimine ja integreerimine, mis hõlmab torujuhtmete turvaskaneerimist, on muutumas normiks," teatas ettevõte oma ajaveebipostituses.
Mitte ainult SAST, mitte ainult DAST
Synopsys avaldas andmeid mitmesugustest erinevatest testidest, millest igaühel olid sarnased peamised kurjategijad. Krüpteerimistehnoloogia nõrgad konfiguratsioonid – nimelt Secure Sockets Layer (SSL) ja Transport Layer Security (TLS) – olid näiteks staatiliste, dünaamiliste ja mobiilirakenduste turbetestide edetabelite tipus.
Ometi lähevad probleemid nimekirjades veelgi kaugemale. Läbitungimistestid tuvastasid nõrgad paroolipoliitikad veerandis rakendustest ja saidiülene skriptimine 22%, samas kui DAST tuvastas 38% testides rakendusi, millel puudusid piisavad seansi ajalõpud ja 30% testidest need, mis olid klõpsamise suhtes haavatavad.
Staatilisel ja dünaamilisel testimisel ning tarkvara koostise analüüsil (SCA) on kõigil eelised ja neid tuleks kasutada koos, et oleks suurim võimalus tuvastada võimalikke väärkonfiguratsioone ja haavatavusi, ütleb Synopsyse Kelly.
"Sellest hoolimata võtab terviklik lähenemisviis aega, ressursse ja raha, mistõttu ei pruugi see paljude organisatsioonide jaoks olla teostatav," ütleb ta. "Protsessi turvalisuse kujundamiseks kuluv aeg võib samuti aidata leida ja kõrvaldada võimalikult palju haavatavusi – olenemata nende tüübist – nii, et turvalisus on ennetav ja riske vähendatakse."
Üldiselt kogus ettevõte andmeid peaaegu 4,400 testist enam kui 2,700 programmi kohta. Saitidevaheline skriptimine oli suurim kõrge riskiga haavatavus, mis moodustas 22% avastatud haavatavustest, samas kui SQL-i süstimine oli kõige kriitilisem haavatavuste kategooria, moodustades 4%.
Tarkvara tarneahela ohud
Avatud lähtekoodiga tarkvaraga, mis sisaldab peaaegu 80% koodibaasidest, pole üllatav, et 81%-l koodibaasidest on vähemalt üks haavatavus ja veel 85%-l on avatud lähtekoodiga komponent, mis on neli aastat vananenud.
Siiski leidis Synopsys, et hoolimata nendest muredest moodustasid tarneahela turvalisuse ja avatud lähtekoodiga tarkvarakomponentide haavatavused vaid umbes veerandi probleemidest. Aruandes öeldakse, et turvanõrkuste kategooria haavatavad kolmanda osapoole raamatukogud leiti 21% läbitungimistestidest ja 27% staatilise analüüsi testidest.
Osaliselt võib tarkvarakomponentide oodatust väiksemate haavatavuste põhjus olla see, et tarkvara koostise analüüsi (SCA) on hakatud laiemalt kasutama, ütleb Kelly.
"Seda tüüpi probleeme võib leida tarkvaraarenduse elutsükli (SDLC) varajases staadiumis, näiteks arendus- ja DevOpsi faasis, mis vähendab selle tootmisse jõudmise arvu, " ütleb ta.
