Неверные настройки, уязвимости обнаружены в 95% приложений

Новое исследование показывает, что почти каждое приложение имеет по крайней мере одну уязвимость или неправильную конфигурацию, влияющую на безопасность, и в четверти тестов приложений были обнаружены крайне или критически серьезные уязвимости.

Слабая конфигурация SSL и TLS, отсутствующий заголовок Content Security Policy (CSP) и утечка информации через серверные баннеры возглавляют список проблем с программным обеспечением, имеющих последствия для безопасности, согласно выводам нового отчета конгломерата программных и аппаратных средств Synopsys «Снимок уязвимостей программного обеспечения 2022», опубликованного сегодня. . Хотя многие из неверных конфигураций и уязвимостей считаются средними или менее серьезными, по крайней мере 25% имеют высокую или критически серьезную опасность.

Проблемы с конфигурацией часто решаются менее серьезно, но проблемы с конфигурацией и программированием одинаково опасны, говорит Рэй Келли (Ray Kelly), сотрудник группы Software Integrity Group в Synopsys.

«Это на самом деле просто указывает на то, что [в то время как] организации могут хорошо выполнять статическое сканирование, чтобы уменьшить количество уязвимостей в коде, они не принимают во внимание конфигурацию, поскольку это может быть сложнее», — говорит он. «К сожалению, сканирование статического тестирования безопасности приложений (SAST) не может выполнять проверки конфигурации, поскольку [у них] нет сведений о производственной среде, в которой будет развернут код».

Данные свидетельствуют о преимуществах использования нескольких инструментов для анализа программного обеспечения на наличие уязвимостей и неправильных конфигураций. 

Тесты на проникновение, например, выявили 77% проблем со слабой конфигурацией SSL/TLS, а динамическое тестирование безопасности приложений (DAST) выявило проблему в 81% тестов. Обе технологии, а также тестирование безопасности мобильных приложений (MAST) привели к тому, что проблема была обнаружена в 82% тестов. согласно отчету Synopsys.

Другие фирмы, занимающиеся безопасностью приложений, задокументировали аналогичные результаты. Например, за последнее десятилетие сканируется в три раза больше приложений, а каждое из них сканируется в 20 раз чаще, Veracode говорится в отчете «Состояние безопасности программного обеспечения» в феврале. Хотя этот отчет показал, что 77% сторонних библиотек все еще не устранили обнаруженную уязвимость через три месяца после сообщения о проблеме, исправленный код применялся в три раза быстрее.

По заявлению Veracode, фирмы-разработчики программного обеспечения, совместно использующие динамическое и статическое сканирование, устранили половину недостатков на 24 дня быстрее.

«Непрерывное тестирование и интеграция, включая сканирование безопасности в конвейерах, становятся нормой», фирма заявила в своем блоге в то время.

Не только SAST, не только DAST

Synopsys опубликовала данные различных тестов, в каждом из которых были одни и те же главные преступники. Слабые конфигурации технологии шифрования, а именно Secure Sockets Layer (SSL) и Transport Layer Security (TLS), например, лидируют в рейтингах статических, динамических и тестов безопасности мобильных приложений.

Тем не менее, проблемы начинают расходиться дальше по спискам. Тесты на проникновение выявили слабые политики паролей в четверти приложений и межсайтовые сценарии в 22%, в то время как DAST выявил приложения с недостаточным временем ожидания сеанса в 38% тестов и приложения, уязвимые для кликджекинга в 30% тестов.

По словам Келли из Synopsys, статическое и динамическое тестирование, а также анализ состава программного обеспечения (SCA) имеют свои преимущества и должны использоваться вместе, чтобы иметь наилучшие шансы обнаружить потенциальные неверные конфигурации и уязвимости.

«При этом целостный подход требует времени, ресурсов и денег, поэтому для многих организаций он может оказаться неосуществимым», — говорит он. «Выделение времени для разработки безопасности в процессе также может помочь найти и устранить как можно больше уязвимостей — независимо от их типа — на этом пути, чтобы обеспечить упреждающую безопасность и снизить риск».

В целом компания собрала данные почти 4,400 тестов по более чем 2,700 программам. Межсайтовые сценарии были главной уязвимостью с высоким риском, на которую приходилось 22% обнаруженных уязвимостей, в то время как SQL-инъекция была наиболее критической категорией уязвимостей, на которую приходилось 4%.

Опасности цепочки поставок программного обеспечения

Программное обеспечение с открытым исходным кодом, включающее почти 80% кодовых баз, неудивительно, что 81% кодовых баз имеют по крайней мере одну уязвимость, а еще 85% имеют компонент с открытым исходным кодом, который устарел на четыре года.

Тем не менее, Synopsys обнаружила, что, несмотря на эти опасения, уязвимости в безопасности цепочки поставок и компонентах программного обеспечения с открытым исходным кодом составляют лишь около четверти проблем. В отчете говорится, что категория уязвимых сторонних библиотек в использовании была обнаружена в 21% тестов на проникновение и 27% тестов статического анализа.

По словам Келли, отчасти причиной меньшего, чем ожидалось, количества уязвимостей в компонентах программного обеспечения может быть то, что анализ состава программного обеспечения (SCA) стал более широко использоваться.

«Эти типы проблем можно обнаружить на ранних стадиях жизненного цикла разработки программного обеспечения (SDLC), таких как этапы разработки и DevOps, что сокращает количество проблем, попадающих в производство», — говорит он.