Aproape fiecare aplicație are cel puțin o vulnerabilitate sau o configurație greșită care afectează securitatea și un sfert din testele aplicației au găsit o vulnerabilitate extrem de gravă sau critică, arată un nou studiu.
Configurația SSL și TLS slabă, antetul Politicii de securitate a conținutului (CSP) lipsă și scurgerea de informații prin bannerele serverului se află în fruntea listei problemelor software cu implicații de securitate, conform constatărilor din noul raport Synopsys, publicat astăzi, al conglomeratului de instrumente software și hardware, Software Vulnerabilities Snapshot 2022 . În timp ce multe dintre configurările și vulnerabilitățile greșite sunt considerate a fi de severitate medie sau mai mică, cel puțin 25% sunt evaluate înalt sau critic.
Problemele de configurare sunt adesea puse într-un grup mai puțin grav, dar atât problemele de configurare, cât și cele de codare sunt la fel de riscante, spune Ray Kelly, coleg la Software Integrity Group la Synopsys.
„Acest lucru chiar subliniază că, [în timp ce] organizațiile pot face o treabă bună efectuând scanări statice pentru a reduce numărul de vulnerabilități de codare, ele nu iau în considerare configurația, deoarece poate fi mai dificil”, spune el. „Din păcate, scanările de testare statică de securitate a aplicațiilor (SAST) nu pot efectua verificări de configurare, deoarece [au] nu cunoaște mediul de producție în care va fi implementat codul.”
Datele susțin beneficiile utilizării mai multor instrumente pentru a analiza software-ul pentru vulnerabilități și configurații greșite.
Testele de penetrare, de exemplu, au detectat 77% dintre problemele slabe de configurare SSL/TLS, în timp ce testarea dinamică de securitate a aplicațiilor (DAST) a detectat problema în 81% dintre teste. Ambele tehnologii, plus testarea de securitate a aplicațiilor mobile (MAST), au condus la descoperirea problemei în 82% dintre teste, conform raportului Synopsys.
Alte firme de securitate a aplicațiilor au documentat rezultate similare. În ultimul deceniu, de exemplu, de trei ori mai multe aplicații sunt scanate și fiecare este scanată de 20 de ori mai des, Veracode a declarat în raportul său „Starea securității software” din februarie. În timp ce acel raport a constatat că 77% dintre bibliotecile terțe părți încă nu eliminaseră o vulnerabilitate dezvăluită la trei luni după ce problema a fost raportată, codul corectat a fost aplicat de trei ori mai rapid.
Firmele de software care folosesc scanarea dinamică și statică în concert au remediat jumătate dintre defecte cu 24 de zile mai repede, a declarat Veracode.
„Testarea și integrarea continuă, care include scanarea de securitate în conducte, devin o normă.” a declarat firma într-o postare pe blog la acea vreme.
Nu doar SAST, nu doar DAST
Synopsys a publicat date dintr-o varietate de teste diferite, fiecare având infractorii de top similari. Configurațiile slabe ale tehnologiei de criptare - și anume, Secure Sockets Layer (SSL) și Transport Layer Security (TLS) - au ocupat primul loc în topurile pentru testele de securitate statice, dinamice și mobile, de exemplu.
Cu toate acestea, problemele încep să diverge mai jos pe liste. Testele de penetrare au identificat politici slabe pentru parole într-un sfert din aplicații și scripturi între site-uri în 22%, în timp ce DAST a identificat aplicațiile care nu au expirări adecvate ale sesiunii în 38% dintre teste și cele vulnerabile la clickjacking în 30% dintre teste.
Testarea statică și dinamică, precum și analiza compoziției software (SCA) au toate avantaje și ar trebui folosite împreună pentru a avea cea mai mare șansă de a detecta potențiale configurări greșite și vulnerabilități, spune Kelly de la Synopsys.
„Fiind vorba de acestea, o abordare holistică necesită timp, resurse și bani, așa că acest lucru ar putea să nu fie fezabil pentru multe organizații”, spune el. „Alocarea timpului pentru proiectarea securității în cadrul procesului poate ajuta, de asemenea, să găsiți și să eliminați cât mai multe vulnerabilități posibil – indiferent de tipul lor – pe parcurs, astfel încât securitatea să fie proactivă și riscul să fie redus.”
În general, compania a colectat date din aproape 4,400 de teste pe mai mult de 2,700 de programe. Cross-site scripting a fost cea mai importantă vulnerabilitate cu risc ridicat, reprezentând 22% dintre vulnerabilitățile descoperite, în timp ce injecția SQL a fost cea mai critică categorie de vulnerabilități, reprezentând 4%.
Pericolele lanțului de aprovizionare cu software
Cu software open-source care cuprinde aproape 80% din bazele de cod, este puțin surprinzător faptul că 81% dintre bazele de cod au cel puțin o vulnerabilitate și alți 85% au o componentă open-source care este învechită de patru ani.
Cu toate acestea, Synopsys a constatat că, în ciuda acestor preocupări, vulnerabilitățile în securitatea lanțului de aprovizionare și componentele software cu sursă deschisă au reprezentat doar aproximativ un sfert din probleme. Categoria de slăbiciuni de securitate a Bibliotecilor terțe vulnerabile în utilizare a fost descoperită în 21% dintre testele de penetrare și 27% dintre testele de analiză statică, se arată în raport.
O parte din motivul vulnerabilităților mai mici decât se aștepta în componentele software poate fi faptul că analiza compoziției software (SCA) a devenit mai utilizată, spune Kelly.
„Aceste tipuri de probleme pot fi găsite în etapele incipiente ale ciclului de viață al dezvoltării software (SDLC), cum ar fi fazele de dezvoltare și DevOps, ceea ce reduce numărul de care ajung în producție”, spune el.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
