Mauvaises configurations, vulnérabilités trouvées dans 95 % des applications

Presque toutes les applications présentent au moins une vulnérabilité ou une mauvaise configuration qui affecte la sécurité et un quart des tests d'application ont trouvé une vulnérabilité très ou critique, selon une nouvelle étude.

Une configuration SSL et TLS faible, un en-tête de politique de sécurité du contenu (CSP) manquant et des fuites d'informations via les bannières de serveur figurent en tête de liste des problèmes logiciels ayant des implications en matière de sécurité, selon les conclusions du conglomérat d'outils logiciels et matériels, le nouveau rapport 2022 sur les vulnérabilités logicielles de Synopsys publié aujourd'hui . Alors que bon nombre des erreurs de configuration et des vulnérabilités sont considérées comme étant de gravité moyenne ou inférieure, au moins 25 % sont classées comme étant de gravité élevée ou critique.

Les problèmes de configuration sont souvent placés dans un compartiment moins grave, mais les problèmes de configuration et de codage sont tout aussi risqués, explique Ray Kelly, membre du Software Integrity Group chez Synopsys.

"Cela montre simplement que, [tandis que] les organisations peuvent faire du bon travail en effectuant des analyses statiques pour réduire le nombre de vulnérabilités de codage, elles ne tiennent pas compte de la configuration, car cela peut être plus difficile", dit-il. "Malheureusement, les analyses de test de sécurité des applications statiques (SAST) ne peuvent pas effectuer de vérifications de configuration car [ils n'ont] aucune connaissance de l'environnement de production dans lequel le code sera déployé."

Les données plaident en faveur des avantages de l'utilisation de plusieurs outils pour analyser les logiciels à la recherche de vulnérabilités et de mauvaises configurations. 

Les tests d'intrusion, par exemple, ont détecté 77 % des problèmes de configuration SSL/TLS faibles, tandis que les tests dynamiques de sécurité des applications (DAST) ont détecté le problème dans 81 % des tests. Les deux technologies, ainsi que les tests de sécurité des applications mobiles (MAST), ont conduit à la découverte du problème dans 82 % des tests, selon le rapport Synopsys.

D'autres sociétés de sécurité des applications ont documenté des résultats similaires. Au cours de la dernière décennie, par exemple, trois fois plus d'applications sont analysées, et chacune est analysée 20 fois plus fréquemment, Veracode indiqué dans son rapport "State of Software Security" en février. Bien que ce rapport ait révélé que 77 % des bibliothèques tierces n'avaient toujours pas éliminé une vulnérabilité divulguée trois mois après le signalement du problème, le code corrigé a été appliqué trois fois plus rapidement.

Les éditeurs de logiciels qui utilisent l'analyse dynamique et statique de concert ont corrigé la moitié des défauts 24 jours plus rapidement, a déclaré Veracode.

"Les tests et l'intégration continus, qui incluent l'analyse de sécurité dans les pipelines, deviennent la norme", la société a déclaré dans un article de blog à l'époque.

Pas seulement SAST, pas seulement DAST

Synopsys a publié des données à partir d'une variété de tests différents, chacun ayant des principaux délinquants similaires. Les configurations faibles de la technologie de chiffrement, à savoir Secure Sockets Layer (SSL) et Transport Layer Security (TLS), sont en tête des classements pour les tests de sécurité des applications statiques, dynamiques et mobiles, par exemple.

Pourtant, les problèmes commencent à diverger plus bas dans les listes. Les tests d'intrusion ont identifié des politiques de mot de passe faibles dans un quart des applications et des scripts intersites dans 22 %, tandis que DAST a identifié des applications manquant de délais d'expiration de session adéquats dans 38 % des tests et celles vulnérables au détournement de clics dans 30 % des tests.

Les tests statiques et dynamiques ainsi que l'analyse de la composition logicielle (SCA) présentent tous des avantages et doivent être utilisés ensemble pour avoir les meilleures chances de détecter les erreurs de configuration et les vulnérabilités potentielles, déclare Kelly de Synopsys.

"Cela dit, une approche holistique prend du temps, des ressources et de l'argent, donc cela peut ne pas être faisable pour de nombreuses organisations", dit-il. "Prendre le temps de concevoir la sécurité dans le processus peut également aider à trouver et à éliminer autant de vulnérabilités que possible - quel que soit leur type - en cours de route afin que la sécurité soit proactive et que les risques soient réduits."

Dans l'ensemble, la société a collecté des données à partir de près de 4,400 2,700 tests sur plus de 22 4 programmes. Les scripts intersites étaient la principale vulnérabilité à haut risque, représentant XNUMX % des vulnérabilités découvertes, tandis que l'injection SQL était la catégorie de vulnérabilité la plus critique, représentant XNUMX %.

Dangers de la chaîne d'approvisionnement des logiciels

Avec un logiciel open source comprenant près de 80% des bases de code, il n'est pas surprenant que 81 % des bases de code aient au moins une vulnérabilité et que 85 % aient un composant open source obsolète depuis quatre ans.

Pourtant, Synopsys a constaté que, malgré ces préoccupations, les vulnérabilités de la sécurité de la chaîne d'approvisionnement et des composants logiciels open source ne représentaient qu'environ un quart des problèmes. La catégorie des vulnérabilités de sécurité des bibliothèques tierces vulnérables utilisées a été découverte dans 21% des tests de pénétration et 27% des tests d'analyse statique, selon le rapport.

Une partie de la raison des vulnérabilités plus faibles que prévu dans les composants logiciels peut être due au fait que l'analyse de la composition logicielle (SCA) est devenue plus largement utilisée, explique Kelly.

"Ces types de problèmes peuvent être trouvés dans les premières étapes du cycle de vie du développement logiciel (SDLC), telles que les phases de développement et DevOps, ce qui réduit le nombre de ceux qui passent en production", dit-il.