Szinte minden alkalmazásban van legalább egy biztonsági rést vagy hibás konfigurációt, amely hatással van a biztonságra, és az alkalmazástesztek negyede erősen vagy kritikusan súlyos sebezhetőséget talált – derül ki egy új tanulmányból.
Gyenge SSL- és TLS-konfiguráció, hiányzó Content Security Policy (CSP) fejléc és a kiszolgálói szalaghirdetéseken keresztüli információszivárgás vezeti a biztonsági vonatkozású szoftverproblémák listáját – derül ki a Synopsys szoftver- és hardvereszköz-konszern ma közzétett új, Software Vulnerabilities Snapshot 2022 jelentéséből. . Míg a hibás konfigurációk és sebezhetőségek közül sok közepes vagy kisebb súlyosságúnak tekinthető, legalább 25%-uk erősen vagy kritikusan súlyosnak minősül.
A konfigurációs problémák gyakran kevésbé súlyosak, de mind a konfigurációs, mind a kódolási problémák egyformán kockázatosak – mondja Ray Kelly, a Synopsys Software Integrity Group munkatársa.
"Ez valójában csak arra mutat rá, hogy bár a szervezetek jó munkát végeznek statikus vizsgálatokkal a kódolási sebezhetőségek számának csökkentése érdekében, nem veszik figyelembe a konfigurációt, mivel ez nehezebb lehet" - mondja. "Sajnos a statikus alkalmazásbiztonsági tesztelés (SAST) vizsgálata nem tudja végrehajtani a konfigurációs ellenőrzéseket, mivel [nem] ismerik azt az éles környezetet, ahol a kódot telepíteni fogják."
Az adatok a szoftverek sebezhetőségeinek és hibás konfigurációinak elemzésére szolgáló többféle eszköz használatának előnyei mellett érvelnek.
A penetrációs tesztek például a gyenge SSL/TLS konfigurációs problémák 77%-át, míg a dinamikus alkalmazásbiztonsági tesztelés (DAST) a tesztek 81%-ában észlelte a problémát. Mindkét technológia, valamint a mobilalkalmazások biztonsági tesztelése (MAST) oda vezetett, hogy a tesztek 82%-ában felfedezték a problémát, a Synopsys jelentése szerint.
Más alkalmazásbiztonsági cégek is hasonló eredményeket dokumentáltak. Az elmúlt évtizedben például háromszor több alkalmazást vizsgálnak át, és mindegyiket 20-szor gyakrabban, Veracode – állapította meg februári „State of Software Security” jelentésében. Noha a jelentés szerint a harmadik féltől származó könyvtárak 77%-a még mindig nem szüntette meg a felfedett biztonsági rést három hónappal a probléma bejelentése után, a javított kódot háromszor gyorsabban alkalmazták.
Azok a szoftvercégek, amelyek dinamikus és statikus szkennelést alkalmaznak, 24 nappal gyorsabban orvosolták a hibák felét, mondta Veracode.
"A folyamatos tesztelés és integráció, amely magában foglalja a csővezetékek biztonsági vizsgálatát, már megszokottá válik" – nyilatkozta a cég akkori blogbejegyzésében.
Nem csak SAST, nem csak DAST
A Synopsys számos különböző tesztből adott ki adatokat, amelyekben mindegyikben hasonlóak voltak az elkövetők. A titkosítási technológia gyenge konfigurációi – nevezetesen a Secure Sockets Layer (SSL) és a Transport Layer Security (TLS) – például a statikus, dinamikus és mobilalkalmazás-biztonsági tesztek toplistáját vezették.
Ennek ellenére a problémák egyre lejjebb térnek el a listákon. A behatolási tesztek az alkalmazások negyedében gyenge jelszószabályokat, 22%-ban pedig a webhelyek közötti szkriptet azonosítottak, míg a DAST a tesztek 38%-ában azonosította azokat az alkalmazásokat, amelyek nem rendelkeznek megfelelő munkamenet-időtúllépéssel, és a tesztek 30%-ában olyan alkalmazásokat, amelyek sebezhetőek voltak a kattintással szemben.
A statikus és dinamikus tesztelésnek, valamint a szoftverösszetétel-elemzésnek (SCA) megvannak az előnyei, és ezeket együtt kell használni, hogy a lehető legnagyobb eséllyel észleljék az esetleges hibás konfigurációkat és sebezhetőségeket – mondja Kelly, a Synopsys munkatársa.
„Ezzel együtt a holisztikus megközelítés időt, erőforrásokat és pénzt igényel, ezért ez sok szervezet számára nem biztos, hogy megvalósítható” – mondja. „Ha időt szánunk a biztonság tervezésére a folyamatban, az is segíthet a lehető legtöbb sebezhetőség megtalálásában és kiküszöbölésében – függetlenül azok típusától –, hogy a biztonság proaktív legyen, és csökkenjen a kockázat.”
Összességében a vállalat közel 4,400 tesztből gyűjtött adatokat több mint 2,700 programon. A webhelyek közötti szkriptelés volt a legnagyobb kockázatú sebezhetőség, amely a felfedezett sérülékenységek 22%-át tette ki, míg az SQL-befecskendezés volt a legkritikusabb sebezhetőségi kategória, 4%-kal.
A szoftver-ellátási lánc veszélyei
Nyílt forráskódú szoftverrel, amely tartalmazza a kódbázisok közel 80%-a, nem meglepő, hogy a kódbázisok 81%-a tartalmaz legalább egy sebezhetőséget, és további 85%-a rendelkezik olyan nyílt forráskódú összetevővel, amely négy éve elavult.
A Synopsys azonban úgy találta, hogy ezen aggodalmak ellenére az ellátási lánc biztonsági rései és a nyílt forráskódú szoftverösszetevők csak a problémák mintegy negyedét okozzák. A jelentés szerint a biztonsági hiányosságok kategóriája a Sebezhető, harmadik felek által készített könyvtárak használatában a penetrációs tesztek 21%-ánál és a statikus elemzési tesztek 27%-ánál derült ki.
A szoftverösszetevők vártnál alacsonyabb sebezhetőségének részben az lehet az oka, hogy a szoftverösszetétel-elemzés (SCA) egyre szélesebb körben elterjedt, mondja Kelly.
„Az ilyen típusú problémák a szoftverfejlesztési életciklus (SDLC) korai szakaszában találhatók meg, például a fejlesztési és a DevOps fázisban, ami csökkenti a termelésbe kerülők számát” – mondja.
