Nesten hver applikasjon har minst én sårbarhet eller feilkonfigurasjon som påvirker sikkerheten, og en fjerdedel av applikasjonstestene fant en svært eller kritisk alvorlig sårbarhet, viser en ny studie.
Svak SSL- og TLS-konfigurasjon, manglende overskrift for Content Security Policy (CSP) og informasjonslekkasje gjennom serverbannere toppet listen over programvareproblemer med sikkerhetsimplikasjoner, ifølge funn i programvare- og maskinvareverktøykonglomeratet Synopsys' nye Software Vulnerabilities Snapshot 2022-rapport publisert i dag . Mens mange av feilkonfigurasjonene og sårbarhetene anses å være av middels alvorlighetsgrad eller mindre, er minst 25 % vurdert som høyt eller kritisk alvorlig.
Konfigurasjonsproblemer blir ofte satt i en mindre alvorlig bøtte, men både konfigurasjons- og kodingsproblemer er like risikable, sier Ray Kelly, en stipendiat i Software Integrity Group hos Synopsys.
"Dette peker egentlig bare på at [mens] organisasjoner kan gjøre en god jobb med å utføre statiske skanninger for å redusere antallet kodingssårbarheter, tar de ikke hensyn til konfigurasjonen, siden det kan være vanskeligere," sier han. "Dessverre kan statiske applikasjonssikkerhetstesting (SAST) skanninger ikke utføre konfigurasjonskontroller siden [de har] ingen kunnskap om produksjonsmiljøet der koden vil bli distribuert."
Dataene argumenterer for fordelene ved å bruke flere verktøy for å analysere programvare for sårbarheter og feilkonfigurasjoner.
Penetrasjonstester oppdaget for eksempel 77 % av de svake SSL/TLS-konfigurasjonsproblemene, mens dynamisk applikasjonssikkerhetstesting (DAST) oppdaget problemet i 81 % av testene. Begge teknologiene, pluss sikkerhetstesting av mobilapplikasjoner (MAST), førte til at problemet ble oppdaget i 82 % av testene, ifølge Synopsys-rapporten.
Andre applikasjonssikkerhetsfirmaer har dokumentert lignende resultater. I løpet av det siste tiåret er for eksempel tre ganger flere applikasjoner skannet, og hver enkelt skannes 20 ganger oftere, Veracode uttalt i rapporten "State of Software Security" i februar. Mens den rapporten fant at 77 % av tredjepartsbibliotekene fortsatt ikke hadde eliminert en avslørt sårbarhet tre måneder etter at problemet ble rapportert, ble lappet kode brukt tre ganger raskere.
Programvarefirmaer som bruker dynamisk og statisk skanning sammen, utbedret halvparten av feilene 24 dager raskere, sa Veracode.
"Kontinuerlig testing og integrasjon, som inkluderer sikkerhetsskanning i rørledninger, er i ferd med å bli normen," uttalte firmaet i et blogginnlegg den gang.
Ikke bare SAST, ikke bare DAST
Synopsys ga ut data fra en rekke forskjellige tester, der hver har lignende topplovbrytere. Svake konfigurasjoner av krypteringsteknologi - nemlig Secure Sockets Layer (SSL) og Transport Layer Security (TLS) - toppet listene for statiske, dynamiske og sikkerhetstester for mobilapplikasjoner, for eksempel.
Likevel, problemene divergerer lenger ned på listene. Penetrasjonstester identifiserte svake passordpolicyer i en fjerdedel av applikasjonene og skripting på tvers av nettsteder i 22 %, mens DAST identifiserte applikasjoner som mangler tilstrekkelige økttidsavbrudd i 38 % av testene og de som er sårbare for clickjacking i 30 % av testene.
Statisk og dynamisk testing samt programvaresammensetningsanalyse (SCA) har alle fordeler og bør brukes sammen for å ha størst sjanse til å oppdage potensielle feilkonfigurasjoner og sårbarheter, sier Kelly fra Synopsys.
"Når det er sagt, tar en helhetlig tilnærming tid, ressurser og penger, så dette er kanskje ikke gjennomførbart for mange organisasjoner," sier han. "Å ta seg tid til å designe sikkerhet inn i prosessen kan også bidra til å finne og eliminere så mange sårbarheter som mulig - uansett type - underveis slik at sikkerheten er proaktiv og risikoen reduseres."
Totalt sett samlet selskapet inn data fra nesten 4,400 tester på mer enn 2,700 programmer. Skripting på tvers av nettsteder var den største sårbarheten med høy risiko, og sto for 22 % av sikkerhetsproblemene som ble oppdaget, mens SQL-injeksjon var den mest kritiske sårbarhetskategorien, og sto for 4 %.
Farer i programvareforsyningskjeden
Med åpen kildekode-programvare som omfatter nesten 80 % av kodebasene, er det liten overraskelse at 81 % av kodebasene har minst én sårbarhet og ytterligere 85 % har en åpen kildekode-komponent som er fire år utdatert.
Likevel fant Synopsys at, til tross for disse bekymringene, utgjorde sårbarheter i forsyningskjedesikkerhet og programvarekomponenter med åpen kildekode bare omtrent en fjerdedel av problemene. Sikkerhetssvakheter i kategorien sårbare tredjepartsbiblioteker i bruk ble avdekket i 21 % av penetrasjonstestene og 27 % av de statiske analysetestene, heter det i rapporten.
Noe av årsaken til svakhetene i programvarekomponenter som er lavere enn forventet, kan være fordi programvaresammensetningsanalyse (SCA) har blitt mer utbredt, sier Kelly.
"Disse typer problemer kan bli funnet i de tidlige stadiene av programvareutviklingslivssyklusen (SDLC), for eksempel utviklings- og DevOps-fasene, noe som reduserer antallet som kommer i produksjon," sier han.
