Prawie każda aplikacja ma co najmniej jedną lukę w zabezpieczeniach lub błędną konfigurację, która wpływa na bezpieczeństwo, a jedna czwarta testów aplikacji wykazała bardzo lub krytycznie poważną lukę w zabezpieczeniach, wynika z nowego badania.
Słaba konfiguracja SSL i TLS, brak nagłówka Content Security Policy (CSP) i wyciek informacji przez banery serwerów znalazły się na szczycie listy problemów z oprogramowaniem mających wpływ na bezpieczeństwo, wynika z ustaleń konglomeratu narzędzi programowych i sprzętowych firmy Synopsys, opublikowanego dzisiaj nowego raportu o lukach w zabezpieczeniach oprogramowania 2022 . Podczas gdy wiele błędnych konfiguracji i luk w zabezpieczeniach ma średnią lub mniejszą wagę, co najmniej 25% jest ocenianych jako bardzo lub krytycznie poważne.
Problemy z konfiguracją są często umieszczane w mniej poważnym wiadrze, ale zarówno konfiguracja, jak i problemy z kodowaniem są równie ryzykowne, mówi Ray Kelly, członek Software Integrity Group w Synopsys.
„To naprawdę tylko wskazuje, że [chociaż] organizacje mogą wykonywać dobrą robotę, przeprowadzając statyczne skanowanie w celu zmniejszenia liczby luk w kodowaniu, nie biorą pod uwagę konfiguracji, ponieważ może to być trudniejsze”, mówi. „Niestety statyczne testy bezpieczeństwa aplikacji (SAST) nie mogą przeprowadzać kontroli konfiguracji, ponieważ [nie mają] żadnej wiedzy na temat środowiska produkcyjnego, w którym kod zostanie wdrożony”.
Dane przemawiają za korzyściami płynącymi z używania wielu narzędzi do analizowania oprogramowania pod kątem luk w zabezpieczeniach i błędnych konfiguracji.
Na przykład testy penetracyjne wykryły 77% słabych problemów z konfiguracją SSL/TLS, podczas gdy dynamiczne testy bezpieczeństwa aplikacji (DAST) wykryły problem w 81% testów. Obie technologie oraz testy bezpieczeństwa aplikacji mobilnych (MAST) doprowadziły do wykrycia problemu w 82% testów, według raportu Synopsys.
Inne firmy zajmujące się bezpieczeństwem aplikacji udokumentowały podobne wyniki. Na przykład w ciągu ostatniej dekady skanowanych jest trzy razy więcej aplikacji, a każda z nich jest skanowana 20 razy częściej, Veracode stwierdził w swoim raporcie „Stan bezpieczeństwa oprogramowania” w lutym. Chociaż raport ten wykazał, że 77% bibliotek innych firm nadal nie wyeliminowało ujawnionej luki trzy miesiące po zgłoszeniu problemu, załatany kod został zastosowany trzy razy szybciej.
Firmy programistyczne, które używają dynamicznego i statycznego skanowania, usunęły połowę błędów 24 dni szybciej, stwierdził Veracode.
„Ciągłe testowanie i integracja, która obejmuje skanowanie bezpieczeństwa w potokach, staje się normą” firma stwierdziła w poście na blogu w tamtym czasie.
Nie tylko SAST, nie tylko DAST
Firma Synopsys opublikowała dane z wielu różnych testów, z których każdy miał podobnych głównych przestępców. Na przykład słabe konfiguracje technologii szyfrowania — a mianowicie Secure Sockets Layer (SSL) i Transport Layer Security (TLS) — znalazły się na szczycie list przebojów w statycznych, dynamicznych i mobilnych testach bezpieczeństwa aplikacji.
Jednak problemy zaczynają się rozchodzić na dalszych listach. Testy penetracyjne wykryły słabe zasady haseł w jednej czwartej aplikacji i cross-site scripting w 22%, podczas gdy DAST zidentyfikował aplikacje bez odpowiednich limitów czasu sesji w 38% testów i aplikacje podatne na przechwytywanie kliknięć w 30% testów.
Testy statyczne i dynamiczne, a także analiza składu oprogramowania (SCA) mają zalety i powinny być stosowane razem, aby mieć jak największe szanse na wykrycie potencjalnych błędnych konfiguracji i luk w zabezpieczeniach, mówi Kelly z firmy Synopsys.
„Mówiąc to, holistyczne podejście wymaga czasu, zasobów i pieniędzy, więc może nie być wykonalne dla wielu organizacji” — mówi. „Poświęcenie czasu na zaprojektowanie zabezpieczeń w procesie może również pomóc w znalezieniu i wyeliminowaniu jak największej liczby luk w zabezpieczeniach — niezależnie od ich rodzaju — po drodze, tak aby zabezpieczenia były proaktywne, a ryzyko ograniczone”.
W sumie firma zebrała dane z prawie 4,400 testów na ponad 2,700 programach. Cross-site scripting było największą luką wysokiego ryzyka, odpowiadając za 22% wykrytych luk, podczas gdy iniekcja SQL była najbardziej krytyczną kategorią luk, odpowiadając za 4%.
Zagrożenia łańcucha dostaw oprogramowania
Z oprogramowaniem open source obejmującym prawie 80% baz kodów, nie jest niespodzianką, że 81% baz kodu ma co najmniej jedną lukę, a kolejne 85% ma komponent open source, który jest nieaktualny od czterech lat.
Jednak firma Synopsys stwierdziła, że pomimo tych obaw luki w zabezpieczeniach łańcucha dostaw i komponenty oprogramowania typu open source stanowiły tylko około jednej czwartej problemów. W 21% testów penetracyjnych i 27% testów analizy statycznej wykryto luki w zabezpieczeniach kategorii Vulnerable Third-Party Libraries in Use.
Jednym z powodów niższych niż oczekiwano luk w komponentach oprogramowania może być to, że analiza składu oprogramowania (SCA) stała się szerzej stosowana, mówi Kelly.
„Tego rodzaju problemy można znaleźć na wczesnych etapach cyklu życia oprogramowania (SDLC), takich jak faza rozwoju i DevOps, co zmniejsza liczbę, które trafiają do produkcji”, mówi.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
