כמעט לכל אפליקציה יש לפחות פגיעות אחת או תצורה שגויה שמשפיעה על האבטחה ורבע מבדיקות האפליקציה מצאו פגיעות חמורה ביותר או חמורה ביותר, כך עולה ממחקר חדש.
תצורת SSL ו-TLS חלשה, כותרת חסרה של מדיניות אבטחת תוכן (CSP) וזליגת מידע דרך באנרים של שרתים היו בראש רשימת בעיות התוכנה עם השלכות אבטחה, על פי ממצאים בקונגלומרט כלי תוכנה וחומרה החדש של Synopsys דו"ח Software Vulnerabilities Snapshot 2022 שפורסם היום . בעוד שרבות מהתצורות השגויות והפגיעויות נחשבות בדרגת חומרה בינונית או פחותה, לפחות 25% מדורגים בדרגת חומרה גבוהה או קריטית.
בעיות תצורה מונחות לעתים קרובות בקטגוריה פחות חמורה, אבל גם בעיות התצורה וגם בעיות הקידוד הן מסוכנות באותה מידה, אומר ריי קלי, עמית בקבוצת תוכנת אינטגריטי ב-Synopsys.
"זה באמת רק מצביע על כך שארגונים עשויים לעשות עבודה טובה בביצוע סריקות סטטיות כדי להפחית את מספר פגיעויות הקידוד, הם לא לוקחים בחשבון את התצורה, מכיוון שזה עלול להיות קשה יותר", הוא אומר. "למרבה הצער, סריקות בדיקות אבטחה סטטיות של אפליקציות (SAST) אינן יכולות לבצע בדיקות תצורה מכיוון שאין להן ידע על סביבת הייצור שבה הקוד יתפרס."
הנתונים טוענים ליתרונות של שימוש בכלים מרובים לניתוח תוכנה לאיתור פגיעויות ותצורות שגויות.
בדיקות חדירה, למשל, זיהו 77% מהבעיות החלשות בתצורת SSL/TLS, בעוד שבדיקות אבטחת יישומים דינמיות (DAST) זיהו את הבעיה ב-81% מהבדיקות. שתי הטכנולוגיות, בתוספת בדיקת אבטחת יישומים ניידים (MAST), הביאו לכך שהבעיה התגלתה ב-82% מהבדיקות, על פי דו"ח סינופסיס.
חברות אבטחת יישומים אחרות תיעדו תוצאות דומות. במהלך העשור האחרון, למשל, נסרקות פי שלוש יותר יישומים, וכל אחת נסרקת בתדירות גבוהה פי 20, Veracode נאמר בדוח "מצב אבטחת התוכנה" בפברואר. בעוד שדוח זה מצא ש-77% מהספריות של צד שלישי עדיין לא ביטלו פגיעות שנחשפה שלושה חודשים לאחר הדיווח על הבעיה, קוד תיקון הוחל פי שלושה מהר יותר.
חברות תוכנה שמשתמשות בסריקה דינמית וסטטית במקביל תיקנו מחצית מהפגמים 24 ימים מהר יותר, קבעה Veracode.
"בדיקות ואינטגרציה מתמשכות, הכוללות סריקת אבטחה בצינורות, הופכות לנורמה", כך הודיעה החברה בפוסט בבלוג באותה עת.
לא רק SAST, לא רק DAST
סינופסיס פרסמה נתונים ממגוון בדיקות שונות כאשר לכל אחת יש עבריינים מובילים דומים. תצורות חלשות של טכנולוגיית הצפנה - כלומר, Secure Sockets Layer (SSL) ו-Transport Layer Security (TLS) - היו בראש הטבלאות של מבחני אבטחה סטטיים, דינמיים וניידים, למשל.
עם זאת, הנושאים מככבים להתפצל בהמשך הרשימות. בדיקות חדירה זיהו מדיניות סיסמאות חלשה ברבע מהיישומים וסקריפטים בין-אתרים ב-22%, בעוד ש-DAST זיהה יישומים חסרי פסק זמן נאות של הפעלה ב-38% מהבדיקות וכאלה הפגיעות לחטיפת קליקים ב-30% מהבדיקות.
לבדיקות סטטיות ודינמיות כמו גם לניתוח הרכב תוכנה (SCA) יש יתרונות ויש להשתמש בהם יחד כדי לקבל את הסיכוי הגבוה ביותר לזהות הגדרות שגויות ופגיעויות פוטנציאליות, אומר קלי מ-Synopsys.
"למרות שאמרתי את זה, גישה הוליסטית דורשת זמן, משאבים וכסף, כך שזה לא אפשרי עבור ארגונים רבים", הוא אומר. "לקחת את הזמן לתכנון אבטחה לתוך התהליך יכול גם לעזור למצוא ולחסל כמה שיותר פגיעויות - לא משנה מהן - לאורך הדרך, כך שהאבטחה תהיה פרואקטיבית והסיכון מופחת."
בסך הכל החברה אספה נתונים מכמעט 4,400 בדיקות על יותר מ-2,700 תוכניות. סקריפטים בין-אתרים היו הפגיעות העליונה בסיכון גבוה, והיווה 22% מהחולשות שהתגלו, בעוד שהזרקת SQL הייתה קטגוריית הפגיעות הקריטית ביותר, שהיווה 4%.
סכנות שרשרת אספקת התוכנה
עם תוכנת קוד פתוח הכוללת כמעט 80% מבסיסי הקוד, אין זה מפתיע של-81% מבסיסי הקוד יש לפחות פגיעות אחת ולעוד 85% יש רכיב קוד פתוח שהוא ארבע שנים לא מעודכן.
עם זאת, סינופסיס גילתה שלמרות החששות הללו, פגיעויות באבטחת שרשרת האספקה וברכיבי תוכנה בקוד פתוח היוו רק כרבע מהבעיות. קטגוריית חולשות האבטחה של ספריות צד שלישי פגיעות בשימוש נחשפה ב-21% מבדיקות החדירה ו-27% מבדיקות הניתוח הסטטי, נכתב בדו"ח.
חלק מהסיבה לפגיעויות הנמוכות מהצפוי ברכיבי תוכנה עשויה להיות בגלל שניתוח הרכב תוכנה (SCA) הפך בשימוש נרחב יותר, אומר קלי.
"סוגים אלה של בעיות ניתן למצוא בשלבים המוקדמים של מחזור החיים של פיתוח התוכנה (SDLC), כמו שלבי הפיתוח ושלבי ה-DevOps, מה שמפחית את המספר שמגיע לייצור", הוא אומר.
