ほぼすべてのアプリケーションには、セキュリティに影響を与える脆弱性または構成ミスが少なくとも XNUMX つはあり、アプリケーション テストの XNUMX 分の XNUMX で、非常にまたは非常に深刻な脆弱性が発見されたことが、新しい調査で示されています。
ソフトウェアおよびハードウェア ツールのコングロマリット シノプシスが本日発表した新しいソフトウェア脆弱性スナップショット 2022 レポートの調査結果によると、脆弱な SSL および TLS 構成、コンテンツ セキュリティ ポリシー (CSP) ヘッダーの欠落、およびサーバー バナーを介した情報漏えいが、セキュリティに影響を与えるソフトウェアの問題のリストのトップでした。 . 設定ミスと脆弱性の多くは重大度が中程度以下であると見なされますが、少なくとも 25% は非常に重大または非常に重大であると評価されています。
シノプシスのソフトウェア インテグリティ グループのフェローであるレイ ケリーは、構成の問題はそれほど深刻ではないバケツに分類されることが多いですが、構成とコーディングの問題はどちらも同じようにリスクが高いと述べています。
「これは、組織が静的スキャンを実行してコーディングの脆弱性の数を減らすために良い仕事をしている可能性があることを示していますが、より困難になる可能性があるため、構成を考慮していません」と彼は言います. 「残念ながら、静的アプリケーション セキュリティ テスト (SAST) スキャンでは、コードが展開される本番環境に関する知識がないため、構成チェックを実行できません。」
このデータは、複数のツールを使用してソフトウェアの脆弱性や構成ミスを分析する利点を示しています。
たとえば、侵入テストでは脆弱な SSL/TLS 構成の問題の 77% が検出されましたが、動的アプリケーション セキュリティ テスト (DAST) では 81% のテストで問題が検出されました。 両方のテクノロジーとモバイル アプリケーション セキュリティ テスト (MAST) により、テストの 82% で問題が発見されました。 シノプシスのレポートによると.
他のアプリケーション セキュリティ企業も同様の結果を記録しています。 たとえば、過去 20 年間でスキャンされるアプリケーションの数は XNUMX 倍になり、各アプリケーションは XNUMX 倍の頻度でスキャンされます。 XNUMX 月の「State of Software Security」レポートで次のように述べられています。. そのレポートでは、サードパーティ ライブラリの 77% が、問題が報告されてから XNUMX か月後に公開された脆弱性をまだ解消していないことがわかりましたが、パッチを適用したコードは XNUMX 倍速く適用されました。
動的スキャンと静的スキャンを同時に使用するソフトウェア会社は、欠陥の半分を 24 日間早く修正した、と Veracode は述べています。
「パイプラインでのセキュリティ スキャンを含む、継続的なテストと統合が標準になりつつあります。」 同社は当時のブログ投稿で述べた.
SASTだけでなく、DASTだけでもありません
シノプシスは、さまざまなテストから得たデータを公開しましたが、それぞれのテストで上位の犯罪者は同様でした。 たとえば、暗号化技術の脆弱な構成、つまり、Secure Sockets Layer (SSL) と Transport Layer Security (TLS) は、静的、動的、およびモバイル アプリケーションのセキュリティ テストのチャートを上回りました。
それでも、問題はリストのさらに下に分岐します。 侵入テストでは、アプリケーションの 22 分の 38 で脆弱なパスワード ポリシーが特定され、30% でクロスサイト スクリプティングが特定されました。一方、DAST では、テストの XNUMX% で適切なセッション タイムアウトを欠いているアプリケーションと、テストの XNUMX% でクリックジャッキングに対して脆弱なアプリケーションが特定されました。
Synopsys の Kelly 氏は、静的および動的テストとソフトウェア構成分析 (SCA) にはすべて利点があり、潜在的な構成ミスや脆弱性を検出する可能性を最大限に高めるために併用する必要があると述べています。
「とはいえ、全体論的なアプローチには時間、リソース、お金がかかるため、これは多くの組織にとって実現可能ではないかもしれません」と彼は言います。 「時間をかけてセキュリティをプロセスに組み込むことで、その過程で可能な限り多くの脆弱性を見つけて排除することができます。そのタイプに関係なく、セキュリティはプロアクティブであり、リスクが軽減されます。」
全体として、同社は 4,400 以上のプログラムで約 2,700 のテストからデータを収集しました。 クロスサイト スクリプティングは、発見された脆弱性の 22% を占める最大のリスクの高い脆弱性であり、SQL インジェクションは 4% を占める最も重大な脆弱性カテゴリでした。
ソフトウェア サプライ チェーンの危険性
オープンソースソフトウェアで コードベースのほぼ 80%、コードベースの 81% に少なくとも 85 つの脆弱性があり、別の XNUMX% に XNUMX 年前のオープンソース コンポーネントがあることは驚くに値しません。
しかし、シノプシスは、これらの懸念にもかかわらず、サプライ チェーン セキュリティとオープンソース ソフトウェア コンポーネントの脆弱性が問題の約 21 分の 27 しか占めていないことを発見しました。 レポートによると、使用中の脆弱なサードパーティ製ライブラリのセキュリティ上の弱点のカテゴリは、侵入テストの XNUMX% と静的分析テストの XNUMX% で発見されました。
ソフトウェア コンポーネントの脆弱性が予想よりも低い理由の XNUMX つは、ソフトウェア構成分析 (SCA) がより広く使用されるようになったためかもしれない、と Kelly は言います。
「この種の問題は、開発段階や DevOps 段階など、ソフトウェア開発ライフサイクル (SDLC) の初期段階で発見される可能性があり、それによって本番環境に移行する数が減少します」と彼は言います。
