Hampir setiap aplikasi memiliki setidaknya satu kerentanan atau kesalahan konfigurasi yang memengaruhi keamanan dan seperempat pengujian aplikasi menemukan kerentanan yang sangat atau sangat parah, sebuah studi baru menunjukkan.
Konfigurasi SSL dan TLS yang lemah, header Kebijakan Keamanan Konten (CSP) yang hilang, dan kebocoran informasi melalui spanduk server menduduki puncak daftar masalah perangkat lunak dengan implikasi keamanan, menurut temuan dalam laporan baru Software Vulnerabilities Snapshot 2022 dari konglomerat perangkat lunak dan perangkat keras Synopsys yang diterbitkan hari ini . Meskipun sebagian besar kesalahan konfigurasi dan kerentanan dianggap memiliki tingkat keparahan sedang atau kurang, setidaknya 25% diantaranya dinilai sangat parah atau sangat parah.
Masalah konfigurasi sering kali dianggap tidak terlalu parah, namun masalah konfigurasi dan pengkodean sama-sama berisiko, kata Ray Kelly, rekan di Software Integrity Group di Synopsys.
โIni benar-benar hanya menunjukkan bahwa, [walaupun] organisasi mungkin melakukan pekerjaan yang baik dalam melakukan pemindaian statis untuk menurunkan jumlah kerentanan pengkodean, mereka tidak memperhitungkan konfigurasi, karena mungkin lebih sulit,โ katanya. โSayangnya, pemindaian pengujian keamanan aplikasi statis (SAST) tidak dapat melakukan pemeriksaan konfigurasi karena [mereka] tidak memiliki pengetahuan tentang lingkungan produksi tempat kode akan diterapkan.โ
Data tersebut mendukung manfaat penggunaan berbagai alat untuk menganalisis kerentanan dan kesalahan konfigurasi perangkat lunak.
Pengujian penetrasi, misalnya, mendeteksi 77% masalah konfigurasi SSL/TLS yang lemah, sementara pengujian keamanan aplikasi dinamis (DAST) mendeteksi masalah tersebut di 81% pengujian. Kedua teknologi tersebut, ditambah pengujian keamanan aplikasi seluler (MAST), menyebabkan masalah ditemukan pada 82% pengujian, menurut laporan Synopsys.
Perusahaan keamanan aplikasi lainnya telah mendokumentasikan hasil serupa. Selama dekade terakhir, misalnya, aplikasi dipindai tiga kali lebih banyak, dan masing-masing aplikasi dipindai 20 kali lebih sering, Veracode dinyatakan dalam laporan โStatus Keamanan Perangkat Lunakโ pada bulan Februari. Meskipun laporan tersebut menemukan bahwa 77% perpustakaan pihak ketiga masih belum menghilangkan kerentanan yang diungkapkan tiga bulan setelah masalah tersebut dilaporkan, kode yang ditambal diterapkan tiga kali lebih cepat.
Perusahaan perangkat lunak yang menggunakan pemindaian dinamis dan statis bersama-sama memperbaiki setengah dari kekurangan dalam 24 hari lebih cepat, kata Veracode.
โPengujian dan integrasi berkelanjutan, yang mencakup pemindaian keamanan di jaringan pipa, sudah menjadi hal yang biasa,โ kata perusahaan itu dalam postingan blog pada saat itu.
Bukan Hanya SAST, Bukan Hanya DAST
Synopsys merilis data dari berbagai tes berbeda yang masing-masing memiliki pelaku utama serupa. Konfigurasi teknologi enkripsi yang lemah โ misalnya, Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) โ menduduki peringkat teratas dalam pengujian keamanan aplikasi statis, dinamis, dan seluler, misalnya.
Namun, isu-isunya mulai berbeda-beda. Uji penetrasi mengidentifikasi kebijakan kata sandi yang lemah pada seperempat aplikasi dan skrip lintas situs pada 22% aplikasi, sementara DAST mengidentifikasi aplikasi yang tidak memiliki batas waktu sesi yang memadai pada 38% pengujian dan aplikasi yang rentan terhadap clickjacking pada 30% pengujian.
Pengujian statis dan dinamis serta analisis komposisi perangkat lunak (SCA) semuanya memiliki kelebihan dan harus digunakan bersama-sama untuk mendapatkan peluang tertinggi dalam mendeteksi potensi kesalahan konfigurasi dan kerentanan, kata Kelly dari Synopsys.
โMeskipun demikian, pendekatan holistik membutuhkan waktu, sumber daya, dan uang, sehingga hal ini mungkin tidak dapat dilakukan oleh banyak organisasi,โ katanya. โMeluangkan waktu untuk merancang keamanan ke dalam proses juga dapat membantu menemukan dan menghilangkan sebanyak mungkin kerentanan โ apa pun jenisnya โ sehingga keamanan bersifat proaktif dan risiko berkurang.โ
Secara keseluruhan perusahaan mengumpulkan data dari hampir 4,400 pengujian pada lebih dari 2,700 program. Skrip lintas situs merupakan kerentanan berisiko tinggi teratas, mencakup 22% kerentanan yang ditemukan, sedangkan injeksi SQL merupakan kategori kerentanan paling kritis, mencakup 4%.
Bahaya Rantai Pasokan Perangkat Lunak
Dengan perangkat lunak sumber terbuka yang terdiri dari hampir 80% basis kode, tidak mengherankan jika 81% basis kode memiliki setidaknya satu kerentanan dan 85% lainnya memiliki komponen sumber terbuka yang sudah ketinggalan zaman selama empat tahun.
Namun, Synopsys menemukan bahwa, terlepas dari kekhawatiran tersebut, kerentanan dalam keamanan rantai pasokan dan komponen perangkat lunak sumber terbuka hanya menyumbang sekitar seperempat permasalahan. Kategori kelemahan keamanan Perpustakaan Pihak Ketiga yang Rentan dalam Penggunaan ditemukan dalam 21% pengujian penetrasi dan 27% pengujian analisis statis, kata laporan itu.
Salah satu alasan mengapa kerentanan pada komponen perangkat lunak lebih rendah dari perkiraan mungkin karena analisis komposisi perangkat lunak (SCA) telah semakin banyak digunakan, kata Kelly.
โJenis masalah ini dapat ditemukan pada tahap awal siklus hidup pengembangan perangkat lunak (SDLC), seperti fase pengembangan dan DevOps, yang mengurangi jumlah perangkat lunak yang berhasil masuk ke dalam produksi,โ katanya.
