거의 모든 애플리케이션에는 보안에 영향을 미치는 최소한 하나의 취약점이나 잘못된 구성이 있으며, 애플리케이션 테스트 중 XNUMX분의 XNUMX에서 매우 또는 매우 심각한 취약점이 발견된 것으로 새로운 연구에서 밝혀졌습니다.
오늘 발표된 소프트웨어 및 하드웨어 도구 대기업 Synopsys의 새로운 소프트웨어 취약점 스냅샷 2022 보고서에 따르면 약한 SSL 및 TLS 구성, 콘텐츠 보안 정책(CSP) 헤더 누락, 서버 배너를 통한 정보 유출이 보안과 관련된 소프트웨어 문제 목록의 25위를 차지했습니다. . 잘못된 구성과 취약점 중 다수는 심각도가 중간 이하인 것으로 간주되지만, 최소 XNUMX%는 심각도가 높거나 매우 심각한 것으로 평가됩니다.
Synopsys의 Software Integrity Group 소속인 Ray Kelly는 구성 문제가 덜 심각한 수준에 속하는 경우가 많지만 구성 문제와 코딩 문제 모두 똑같이 위험하다고 말합니다.
"이것은 조직이 코딩 취약점 수를 줄이기 위해 정적 스캔을 잘 수행하고 있지만 구성이 더 어려울 수 있기 때문에 고려하지 않고 있다는 점을 실제로 지적합니다."라고 그는 말합니다. "안타깝게도 SAST(정적 애플리케이션 보안 테스트) 스캔은 코드가 배포될 프로덕션 환경에 대한 지식이 없기 때문에 구성 검사를 수행할 수 없습니다."
데이터는 소프트웨어의 취약점과 잘못된 구성을 분석하기 위해 여러 도구를 사용하는 것의 이점을 주장합니다.
예를 들어 침투 테스트에서는 취약한 SSL/TLS 구성 문제의 77%를 감지한 반면, DAST(동적 애플리케이션 보안 테스트)에서는 테스트의 81%에서 문제를 감지했습니다. 두 가지 기술과 MAST(모바일 애플리케이션 보안 테스트)를 통해 테스트의 82%에서 문제가 발견되었습니다. Synopsys 보고서에 따르면.
다른 애플리케이션 보안 회사에서도 비슷한 결과를 문서화했습니다. 예를 들어, 지난 20년 동안 XNUMX배 더 많은 애플리케이션이 검색되었으며 각 애플리케이션은 XNUMX배 더 자주 검색되었습니다. Veracode 2월 "소프트웨어 보안 현황" 보고서에 명시됨. 해당 보고서에서는 타사 라이브러리의 77%가 문제가 보고된 지 XNUMX개월 후에도 공개된 취약점을 제거하지 못한 것으로 나타났지만, 패치된 코드는 XNUMX배 더 빠르게 적용되었습니다.
Veracode에 따르면 동적 및 정적 스캐닝을 사용하는 소프트웨어 회사는 결함의 절반을 24일 더 빠르게 교정했습니다.
"파이프라인의 보안 검색을 포함하는 지속적인 테스트 및 통합이 표준이 되고 있습니다." 당시 블로그 게시물에 언급된 회사.
SAST뿐만 아니라 DAST도 아닙니다.
Synopsys는 각각 유사한 최고 범죄자를 대상으로 한 다양한 테스트의 데이터를 공개했습니다. 예를 들어 SSL(Secure Sockets Layer) 및 TLS(Transport Layer Security)와 같은 암호화 기술의 취약한 구성은 정적, 동적 및 모바일 애플리케이션 보안 테스트 차트에서 XNUMX위를 차지했습니다.
그러나 문제는 목록 아래로 더 다양해집니다. 침투 테스트에서는 애플리케이션의 22분의 38에서 취약한 비밀번호 정책을, 30%에서는 교차 사이트 스크립팅을 식별했으며, DAST에서는 테스트 중 XNUMX%에서 적절한 세션 시간 초과가 부족한 애플리케이션을 식별했으며, XNUMX%의 테스트에서 클릭재킹에 취약한 애플리케이션을 식별했습니다.
Synopsys의 Kelly는 정적 및 동적 테스트와 SCA(소프트웨어 구성 분석) 모두 장점이 있으므로 함께 사용하여 잠재적인 구성 오류와 취약점을 가장 잘 감지할 수 있어야 한다고 말합니다.
"하지만 전체적인 접근 방식에는 시간, 자원, 비용이 필요하기 때문에 많은 조직에서는 이것이 실현 가능하지 않을 수도 있습니다."라고 그는 말합니다. "프로세스에 보안을 설계하는 데 시간을 투자하면 유형에 관계없이 가능한 한 많은 취약점을 찾아 제거하여 보안을 사전에 예방하고 위험을 줄이는 데 도움이 될 수 있습니다."
전반적으로 회사는 4,400개 이상의 프로그램에서 거의 2,700번의 테스트를 통해 데이터를 수집했습니다. 교차 사이트 스크립팅은 발견된 취약점의 22%를 차지하는 가장 위험한 취약점이었고, SQL 주입은 4%를 차지하는 가장 중요한 취약점 범주였습니다.
소프트웨어 공급망 위험
오픈소스 소프트웨어로 구성된 코드베이스의 거의 80%, 코드베이스의 81%에 하나 이상의 취약점이 있고 다른 85%에는 XNUMX년이 지난 오픈 소스 구성 요소가 있다는 것은 별로 놀라운 일이 아닙니다.
그러나 Synopsys는 이러한 우려에도 불구하고 공급망 보안 및 오픈 소스 소프트웨어 구성 요소의 취약성이 문제의 약 21분의 27에 불과하다는 사실을 발견했습니다. 보안 취약점 중 취약한 타사 라이브러리 사용 카테고리는 침투 테스트의 XNUMX%, 정적 분석 테스트의 XNUMX%에서 발견되었다고 보고서는 밝혔습니다.
소프트웨어 구성 요소의 취약점이 예상보다 낮은 이유 중 하나는 SCA(소프트웨어 구성 분석)가 더 널리 사용되기 때문일 수 있다고 Kelly는 말합니다.
"이러한 유형의 문제는 개발 및 DevOps 단계와 같은 소프트웨어 개발 수명주기(SDLC)의 초기 단계에서 발견될 수 있으며 이로 인해 프로덕션에 투입되는 횟수가 줄어듭니다."라고 그는 말합니다.
