एक नए अध्ययन से पता चलता है कि लगभग हर एप्लिकेशन में कम से कम एक भेद्यता या गलत कॉन्फ़िगरेशन होता है जो सुरक्षा को प्रभावित करता है और एक चौथाई एप्लिकेशन परीक्षणों में अत्यधिक या गंभीर रूप से गंभीर भेद्यता पाई गई है।
सॉफ्टवेयर और हार्डवेयर उपकरण समूह सिनोप्सिस की आज प्रकाशित नई सॉफ्टवेयर कमजोरियां स्नैपशॉट 2022 रिपोर्ट के निष्कर्षों के अनुसार, कमजोर एसएसएल और टीएलएस कॉन्फ़िगरेशन, गायब सामग्री सुरक्षा नीति (सीएसपी) हेडर, और सर्वर बैनर के माध्यम से सूचना रिसाव सुरक्षा निहितार्थ वाले सॉफ्टवेयर मुद्दों की सूची में सबसे ऊपर है। . जबकि कई गलत कॉन्फ़िगरेशन और कमजोरियों को मध्यम गंभीरता या उससे कम माना जाता है, कम से कम 25% को अत्यधिक या गंभीर रूप से गंभीर माना जाता है।
सिनोप्सिस में सॉफ़्टवेयर इंटीग्रिटी ग्रुप के एक साथी रे केली कहते हैं, कॉन्फ़िगरेशन समस्याओं को अक्सर कम गंभीर श्रेणी में रखा जाता है, लेकिन कॉन्फ़िगरेशन और कोडिंग समस्याएं दोनों समान रूप से जोखिम भरी होती हैं।
"यह वास्तव में केवल यह इंगित करता है कि, [जबकि] संगठन कोडिंग कमजोरियों की संख्या को कम करने के लिए स्थैतिक स्कैन करके अच्छा काम कर रहे हैं, वे कॉन्फ़िगरेशन को ध्यान में नहीं रख रहे हैं, क्योंकि यह अधिक कठिन हो सकता है," वे कहते हैं। "दुर्भाग्य से, स्थैतिक एप्लिकेशन सुरक्षा परीक्षण (एसएएसटी) स्कैन कॉन्फ़िगरेशन जांच नहीं कर सकते क्योंकि [उन्हें] उत्पादन वातावरण का कोई ज्ञान नहीं है जहां कोड तैनात किया जाएगा।"
डेटा कमजोरियों और गलत कॉन्फ़िगरेशन के लिए सॉफ़्टवेयर का विश्लेषण करने के लिए कई टूल का उपयोग करने के लाभों के लिए तर्क देता है।
उदाहरण के लिए, पेनेट्रेशन परीक्षणों ने 77% कमजोर एसएसएल/टीएलएस कॉन्फ़िगरेशन समस्याओं का पता लगाया, जबकि डायनेमिक एप्लिकेशन सुरक्षा परीक्षण (डीएएसटी) ने 81% परीक्षणों में समस्या का पता लगाया। दोनों प्रौद्योगिकियों, साथ ही मोबाइल एप्लिकेशन सुरक्षा परीक्षण (एमएएसटी) के कारण 82% परीक्षणों में समस्या का पता चला, सिनोप्सिस रिपोर्ट के अनुसार.
अन्य एप्लिकेशन सुरक्षा फर्मों ने समान परिणाम प्रलेखित किए हैं। पिछले दशक में, उदाहरण के लिए, तीन गुना अधिक एप्लिकेशन स्कैन किए गए हैं, और प्रत्येक को 20 गुना अधिक बार स्कैन किया गया है, वेराकोड फरवरी में अपनी "सॉफ़्टवेयर सुरक्षा की स्थिति" रिपोर्ट में कहा गया. जबकि उस रिपोर्ट में पाया गया कि 77% तृतीय-पक्ष पुस्तकालयों ने समस्या की रिपोर्ट किए जाने के तीन महीने बाद भी प्रकट भेद्यता को समाप्त नहीं किया है, पैच कोड को तीन गुना तेजी से लागू किया गया था।
वेराकोड ने कहा कि सॉफ्टवेयर कंपनियां जो कॉन्सर्ट में गतिशील और स्थैतिक स्कैनिंग का उपयोग करती हैं, उन्होंने आधी खामियों को 24 दिन तेजी से ठीक कर दिया।
"निरंतर परीक्षण और एकीकरण, जिसमें पाइपलाइनों में सुरक्षा स्कैनिंग शामिल है, आदर्श बन रहा है," कंपनी ने उस समय एक ब्लॉग पोस्ट में कहा था.
न सिर्फ SAST, न सिर्फ DAST
सिनोप्सिस ने विभिन्न परीक्षणों से डेटा जारी किया, जिनमें से प्रत्येक में समान शीर्ष अपराधी थे। उदाहरण के लिए, एन्क्रिप्शन तकनीक की कमजोर कॉन्फ़िगरेशन - अर्थात्, सिक्योर सॉकेट लेयर (एसएसएल) और ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) - स्थिर, गतिशील और मोबाइल एप्लिकेशन सुरक्षा परीक्षणों के चार्ट में सबसे ऊपर है।
फिर भी, सूची में मुद्दे और भी भिन्न होते जा रहे हैं। पेनेट्रेशन परीक्षणों ने एक चौथाई अनुप्रयोगों में कमजोर पासवर्ड नीतियों और 22% में क्रॉस-साइट स्क्रिप्टिंग की पहचान की, जबकि DAST ने 38% परीक्षणों में पर्याप्त सत्र टाइमआउट की कमी वाले अनुप्रयोगों और 30% परीक्षणों में क्लिकजैकिंग के प्रति संवेदनशील अनुप्रयोगों की पहचान की।
सिनोप्सिस के केली का कहना है कि स्थैतिक और गतिशील परीक्षण के साथ-साथ सॉफ्टवेयर संरचना विश्लेषण (एससीए) सभी के फायदे हैं और संभावित गलत कॉन्फ़िगरेशन और कमजोरियों का पता लगाने के उच्चतम अवसर के लिए इनका एक साथ उपयोग किया जाना चाहिए।
"ऐसा कहने के बाद, एक समग्र दृष्टिकोण में समय, संसाधन और पैसा लगता है, इसलिए यह कई संगठनों के लिए संभव नहीं हो सकता है," वे कहते हैं। "प्रक्रिया में सुरक्षा को डिज़ाइन करने के लिए समय लेने से यथासंभव अधिक से अधिक कमजोरियों को ढूंढने और उन्हें खत्म करने में मदद मिल सकती है - चाहे वे किसी भी प्रकार की हों - ताकि सुरक्षा सक्रिय हो और जोखिम कम हो।"
कुल मिलाकर कंपनी ने 4,400 से अधिक कार्यक्रमों पर लगभग 2,700 परीक्षणों से डेटा एकत्र किया। क्रॉस-साइट स्क्रिप्टिंग शीर्ष उच्च जोखिम वाली भेद्यता थी, जो खोजी गई कमजोरियों में से 22% के लिए जिम्मेदार थी, जबकि SQL इंजेक्शन सबसे महत्वपूर्ण भेद्यता श्रेणी थी, जो 4% के लिए जिम्मेदार थी।
सॉफ़्टवेयर आपूर्ति शृंखला के ख़तरे
ओपन-सोर्स सॉफ़्टवेयर के साथ लगभग 80% कोडबेस, यह थोड़ा आश्चर्य की बात है कि 81% कोडबेस में कम से कम एक भेद्यता है और अन्य 85% में एक ओपन-सोर्स घटक है जो चार साल पुराना है।
फिर भी, सिनोप्सिस ने पाया कि उन चिंताओं के बावजूद, आपूर्ति-श्रृंखला सुरक्षा और ओपन-सोर्स सॉफ़्टवेयर घटकों में कमज़ोरियाँ केवल एक चौथाई मुद्दों के लिए जिम्मेदार हैं। रिपोर्ट में कहा गया है कि सुरक्षा कमजोरियों की श्रेणी में कमजोर तृतीय-पक्ष पुस्तकालयों को 21% प्रवेश परीक्षणों और 27% स्थैतिक विश्लेषण परीक्षणों में उजागर किया गया था।
केली का कहना है कि सॉफ़्टवेयर घटकों में अपेक्षा से कम कमज़ोरियों का एक कारण यह हो सकता है कि सॉफ़्टवेयर संरचना विश्लेषण (एससीए) अधिक व्यापक रूप से उपयोग किया जाने लगा है।
"इस प्रकार के मुद्दे सॉफ़्टवेयर विकास जीवनचक्र (एसडीएलसी) के शुरुआती चरणों में पाए जा सकते हैं, जैसे कि विकास और डेवऑप्स चरण, जो इसे उत्पादन में लाने वाली संख्या को कम कर देता है," वे कहते हैं।
