پیکربندی‌های نادرست، آسیب‌پذیری‌ها در 95 درصد برنامه‌ها یافت شد

یک مطالعه جدید نشان می‌دهد که تقریباً هر برنامه حداقل یک آسیب‌پذیری یا پیکربندی نادرست دارد که بر امنیت تأثیر می‌گذارد و یک چهارم آزمایش‌های برنامه یک آسیب‌پذیری شدید یا بسیار شدید را نشان می‌دهد.

بر اساس یافته‌های موجود در مجموعه ابزارهای سخت‌افزاری و نرم‌افزاری، گزارش جدید آسیب‌پذیری‌های نرم‌افزار Snapshot 2022 که امروز منتشر شد، پیکربندی ضعیف SSL و TLS، هدر خط‌مشی امنیت محتوا (CSP) و نشت اطلاعات از طریق بنرهای سرور در صدر فهرست مشکلات نرم‌افزاری با پیامدهای امنیتی قرار دارند. . در حالی که بسیاری از پیکربندی‌های نادرست و آسیب‌پذیری‌ها با شدت متوسط ​​یا کمتر در نظر گرفته می‌شوند، حداقل ۲۵ درصد آن‌ها به شدت یا بسیار شدید رتبه‌بندی می‌شوند.

ری کلی، یکی از همکاران گروه یکپارچگی نرم افزار در سینوپسیس، می گوید: مشکلات پیکربندی اغلب در یک سطل با شدت کمتر قرار می گیرند، اما مسائل مربوط به پیکربندی و کدگذاری به یک اندازه خطرناک هستند.

او می‌گوید: «این واقعاً نشان می‌دهد که [در حالی که] سازمان‌ها ممکن است در انجام اسکن‌های استاتیک برای کاهش تعداد آسیب‌پذیری‌های کدگذاری کار خوبی انجام دهند، پیکربندی را در نظر نمی‌گیرند، زیرا ممکن است دشوارتر باشد». متأسفانه، اسکن‌های تست امنیت برنامه استاتیک (SAST) نمی‌توانند بررسی‌های پیکربندی را انجام دهند زیرا [آنها] از محیط تولید که در آن کد مستقر می‌شود اطلاعی ندارند.»

داده ها در مورد مزایای استفاده از ابزارهای متعدد برای تجزیه و تحلیل نرم افزار برای آسیب پذیری ها و پیکربندی های نادرست بحث می کنند. 

به عنوان مثال، تست های نفوذ، 77 درصد از مشکلات پیکربندی ضعیف SSL/TLS را شناسایی کردند، در حالی که تست امنیت برنامه های کاربردی پویا (DAST) این مشکل را در 81 درصد از تست ها شناسایی کرد. هر دوی این فناوری‌ها، به‌علاوه تست امنیت برنامه‌های تلفن همراه (MAST)، منجر به کشف این مشکل در 82٪ از آزمایش‌ها شد. بر اساس گزارش سینوپسیس.

سایر شرکت های امنیتی برنامه ها نتایج مشابهی را ثبت کرده اند. به عنوان مثال، در طول دهه گذشته، سه برابر برنامه های کاربردی بیشتر اسکن شده اند، و هر یک 20 برابر بیشتر اسکن شده اند. در گزارش "وضعیت امنیت نرم افزار" خود در ماه فوریه بیان کرد. در حالی که آن گزارش نشان داد که 77٪ از کتابخانه های شخص ثالث هنوز یک آسیب پذیری فاش شده را سه ماه پس از گزارش مشکل حذف نکرده اند، کد وصله شده سه برابر سریعتر اعمال شد.

شرکت های نرم افزاری که از اسکن پویا و ایستا در کنسرت استفاده می کنند، نیمی از نقص ها را 24 روز سریعتر برطرف کردند.

"آزمایش و ادغام مداوم، که شامل اسکن امنیتی در خطوط لوله است، در حال تبدیل شدن به یک امر عادی است." این شرکت در آن زمان در یک پست وبلاگ اعلام کرد.

نه فقط SAST، نه فقط DAST

Synopsys داده‌هایی را از انواع آزمایش‌های مختلف منتشر کرد که هر کدام دارای مجرمان اصلی مشابه بودند. پیکربندی‌های ضعیف فناوری رمزگذاری - یعنی لایه سوکت‌های ایمن (SSL) و امنیت لایه حمل و نقل (TLS) - برای مثال در آزمون‌های امنیتی برنامه‌های کاربردی استاتیک، پویا و تلفن همراه در صدر جدول قرار گرفتند.

با این حال، این مسائل در فهرست ها بیشتر از هم متمایز می شوند. تست‌های نفوذ سیاست‌های رمز عبور ضعیف را در یک چهارم برنامه‌ها و اسکریپت‌های متقابل سایتی را در ۲۲٪ شناسایی کردند، در حالی که DAST برنامه‌هایی را شناسایی کرد که در ۳۸٪ از تست‌ها، برنامه‌هایی را فاقد زمان‌بندی کافی و در ۳۰٪ آزمایش‌ها آن‌هایی را که در معرض کلیک جک هستند، شناسایی کرد.

به گفته کلی سینوپسیس، تست استاتیک و پویا و همچنین تجزیه و تحلیل ترکیب نرم افزار (SCA) همگی مزیت هایی دارند و باید با هم استفاده شوند تا بیشترین شانس را برای شناسایی پیکربندی های اشتباه و آسیب پذیری های احتمالی داشته باشند.

او می‌گوید: «با این حال، یک رویکرد کل‌نگر به زمان، منابع و پول نیاز دارد، بنابراین ممکن است این امر برای بسیاری از سازمان‌ها امکان‌پذیر نباشد». وقت گذاشتن برای طراحی امنیت در این فرآیند همچنین می‌تواند به یافتن و حذف هر چه بیشتر آسیب‌پذیری‌ها - هر نوع آنها - در طول مسیر کمک کند تا امنیت فعال باشد و خطر کاهش یابد.

به طور کلی این شرکت داده‌های نزدیک به 4,400 آزمایش را روی بیش از 2,700 برنامه جمع‌آوری کرد. اسکریپت بین سایتی بالاترین آسیب پذیری پرخطر بود که 22٪ از آسیب پذیری های کشف شده را به خود اختصاص داد، در حالی که تزریق SQL با 4٪ مهم ترین آسیب پذیری بود.

خطرات زنجیره تامین نرم افزار

با نرم افزار منبع باز شامل نزدیک به 80 درصد از پایگاه های کدجای تعجب نیست که 81 درصد از پایگاه‌های کد حداقل یک آسیب‌پذیری دارند و 85 درصد دیگر دارای یک مؤلفه منبع باز هستند که چهار سال قدیمی است.

با این حال، سینوپسیس دریافت که، علی‌رغم این نگرانی‌ها، آسیب‌پذیری‌ها در امنیت زنجیره تامین و اجزای نرم‌افزار منبع باز تنها حدود یک چهارم مشکلات را تشکیل می‌دهند. در این گزارش آمده است که دسته ضعف‌های امنیتی کتابخانه‌های شخص ثالث آسیب‌پذیر در استفاده در 21 درصد از تست‌های نفوذ و 27 درصد از تست‌های تحلیل استاتیک کشف شده است.

به گفته کلی، بخشی از دلیل آسیب پذیری های کمتر از حد انتظار در اجزای نرم افزار ممکن است به این دلیل باشد که تجزیه و تحلیل ترکیب نرم افزار (SCA) به طور گسترده ای مورد استفاده قرار گرفته است.

او می‌گوید: «این نوع مسائل را می‌توان در مراحل اولیه چرخه عمر توسعه نرم‌افزار (SDLC)، مانند فازهای توسعه و DevOps یافت که تعداد تولیدکنندگان آن را کاهش می‌دهد.