Nästan varje applikation har minst en sårbarhet eller felkonfiguration som påverkar säkerheten och en fjärdedel av applikationstesten fann en mycket eller kritiskt allvarlig sårbarhet, visar en ny studie.
Svag SSL- och TLS-konfiguration, saknad Content Security Policy-header (CSP) och informationsläckage genom serverbanners toppade listan över programvaruproblem med säkerhetsimplikationer, enligt fynd i mjukvaru- och hårdvaruverktygskonglomeratet Synopsys nya Software Vulnerabilities Snapshot 2022-rapport publicerad idag . Medan många av felkonfigurationerna och sårbarheterna anses vara medelstora eller mindre, bedöms minst 25 % vara mycket eller kritiskt allvarliga.
Konfigurationsproblem läggs ofta i en mindre allvarlig hink, men både konfigurations- och kodningsproblem är lika riskabla, säger Ray Kelly, en kollega i Software Integrity Group på Synopsys.
"Detta påpekar egentligen bara att organisationer kan göra ett bra jobb med att utföra statiska skanningar för att minska antalet kodningssårbarheter, men de tar inte hänsyn till konfigurationen, eftersom det kan vara svårare", säger han. "Tyvärr kan statiska applikationssäkerhetstestning (SAST) skanningar inte utföra konfigurationskontroller eftersom [de har] ingen kunskap om produktionsmiljön där koden kommer att distribueras."
Uppgifterna argumenterar för fördelarna med att använda flera verktyg för att analysera programvara för sårbarheter och felkonfigurationer.
Penetrationstester upptäckte till exempel 77 % av de svaga SSL/TLS-konfigurationsproblemen, medan dynamiska applikationssäkerhetstestning (DAST) upptäckte problemet i 81 % av testerna. Båda teknikerna, plus säkerhetstestning av mobilapplikationer (MAST), ledde till att problemet upptäcktes i 82 % av testerna, enligt Synopsys-rapporten.
Andra applikationssäkerhetsföretag har dokumenterat liknande resultat. Under det senaste decenniet har till exempel tre gånger fler applikationer skannats, och var och en skannas 20 gånger oftare, Veracode angavs i rapporten "State of Software Security" i februari. Även om rapporten fann att 77 % av tredjepartsbiblioteken fortfarande inte hade eliminerat en avslöjad sårbarhet tre månader efter att problemet rapporterades, applicerades patchad kod tre gånger snabbare.
Mjukvaruföretag som använder dynamisk och statisk skanning tillsammans åtgärdade hälften av bristerna 24 dagar snabbare, uppgav Veracode.
"Kontinuerlig testning och integration, som inkluderar säkerhetsskanning i pipelines, håller på att bli normen," uppgav företaget i ett blogginlägg då.
Inte bara SAST, inte bara DAST
Synopsys släppte data från en mängd olika tester där var och en har liknande toppbrottslingar. Svaga konfigurationer av krypteringsteknik - nämligen Secure Sockets Layer (SSL) och Transport Layer Security (TLS) - toppade till exempel listorna för statiska, dynamiska och mobila applikationssäkerhetstester.
Ändå stjärnan frågorna divergerar längre ner på listorna. Penetrationstester identifierade svaga lösenordspolicyer i en fjärdedel av applikationerna och skript över flera webbplatser i 22 %, medan DAST identifierade applikationer som saknade adekvata sessionstimeouts i 38 % av testerna och de som var sårbara för clickjacking i 30 % av testerna.
Statisk och dynamisk testning samt mjukvarusammansättningsanalys (SCA) har alla fördelar och bör användas tillsammans för att ha högsta chans att upptäcka potentiella felkonfigurationer och sårbarheter, säger Kelly från Synopsys.
"Med det sagt tar ett holistiskt tillvägagångssätt tid, resurser och pengar, så det här kanske inte är genomförbart för många organisationer", säger han. "Att ta sig tid att designa säkerhet i processen kan också hjälpa till att hitta och eliminera så många sårbarheter som möjligt - oavsett typ - på vägen så att säkerheten är proaktiv och risken minskas."
Sammantaget samlade företaget in data från nästan 4,400 2,700 tester på mer än 22 4 program. Skript mellan webbplatser var den största sårbarheten med hög risk, och stod för XNUMX % av de upptäckta sårbarheterna, medan SQL-injektion var den mest kritiska sårbarhetskategorin, och stod för XNUMX %.
Faror i leveranskedjan för programvara
Med öppen källkod som omfattar nästan 80 % av kodbaserna, det är föga förvånande att 81 % av kodbaserna har minst en sårbarhet och ytterligare 85 % har en öppen källkodskomponent som är fyra år inaktuell.
Ändå fann Synopsys att, trots dessa farhågor, så stod sårbarheter i försörjningskedjans säkerhet och mjukvarukomponenter med öppen källkod endast för ungefär en fjärdedel av problemen. Säkerhetssvagheter i kategorin sårbara tredjepartsbibliotek i bruk avslöjades i 21 % av penetrationstesterna och 27 % av de statiska analystesterna, enligt rapporten.
En del av anledningen till de lägre än förväntade sårbarheterna i programvarukomponenter kan bero på att analys av mjukvarusammansättning (SCA) har blivit mer allmänt använd, säger Kelly.
"Denna typer av problem kan hittas i de tidiga stadierna av mjukvaruutvecklingslivscykeln (SDLC), såsom utvecklings- och DevOps-faserna, vilket minskar antalet som gör det i produktion," säger han.
