Yeni bir çalışma, neredeyse her uygulamanın güvenliği etkileyen en az bir güvenlik açığı veya yanlış yapılandırmaya sahip olduğunu ve uygulama testlerinin dörtte birinde yüksek veya kritik düzeyde ciddi bir güvenlik açığı bulunduğunu gösteriyor.
Yazılım ve donanım araçları holdingi Synopsys'in bugün yayınlanan yeni Yazılım Güvenlik Açıkları Anlık Görüntüsü 2022 raporundaki bulgulara göre, zayıf SSL ve TLS yapılandırması, eksik İçerik Güvenliği Politikası (CSP) başlığı ve sunucu banner'ları yoluyla bilgi sızıntısı, güvenlikle ilgili yazılım sorunları listesinin başında yer alıyor. . Yanlış yapılandırmaların ve güvenlik açıklarının çoğunun orta veya daha az önemde olduğu kabul edilirken, en az %25'i yüksek veya kritik derecede ciddi olarak derecelendirilmiştir.
Synopsys'teki Yazılım Bütünlüğü Grubu'ndan Ray Kelly, yapılandırma sorunlarının genellikle daha az ciddiyetle ele alındığını, ancak hem yapılandırma hem de kodlama sorunlarının eşit derecede riskli olduğunu söylüyor.
"Bu gerçekten şunu gösteriyor ki, kuruluşlar kodlama güvenlik açıklarının sayısını azaltmak için statik taramalar gerçekleştirerek iyi bir iş çıkarırken, daha zor olabileceği için yapılandırmayı hesaba katmıyorlar" diyor. "Maalesef statik uygulama güvenlik testi (SAST) taramaları, kodun dağıtılacağı üretim ortamı hakkında hiçbir bilgiye sahip olmadıkları için yapılandırma kontrollerini gerçekleştiremiyor."
Veriler, yazılımı güvenlik açıkları ve yanlış yapılandırmalara karşı analiz etmek için birden fazla araç kullanmanın faydalarını savunuyor.
Örneğin, sızma testleri zayıf SSL/TLS yapılandırma sorunlarının %77'sini tespit ederken, dinamik uygulama güvenlik testi (DAST) ise sorunu testlerin %81'inde tespit etti. Hem teknolojiler hem de mobil uygulama güvenlik testleri (MAST), testlerin %82'sinde sorunun keşfedilmesine yol açtı. Synopsys raporuna göre.
Diğer uygulama güvenliği firmaları da benzer sonuçları belgeledi. Örneğin son on yılda üç kat daha fazla uygulama tarandı ve her biri 20 kat daha sık tarandı, Veracode Şubat ayında “Yazılım Güvenliğinin Durumu” raporunda belirtti. Bu rapor, üçüncü taraf kitaplıkların %77'sinin, açıklanan güvenlik açığını sorunun bildirilmesinden üç ay sonra hâlâ ortadan kaldırmadığını ortaya koyarken, yamalı kodun üç kat daha hızlı uygulandığını ortaya koydu.
Veracode, dinamik ve statik taramayı birlikte kullanan yazılım firmalarının kusurların yarısını 24 gün daha hızlı düzelttiğini belirtti.
"Boru hatlarında güvenlik taramasını da içeren sürekli test ve entegrasyon norm haline geliyor." firma o sırada bir blog yazısında belirtti.
Sadece SAST Değil, Sadece DAST Değil
Synopsys, her biri benzer en çok suçluya sahip olan çeşitli farklı testlerden veriler yayınladı. Şifreleme teknolojisinin zayıf yapılandırmaları (Güvenli Yuva Katmanı (SSL) ve Aktarım Katmanı Güvenliği (TLS)) örneğin statik, dinamik ve mobil uygulama güvenlik testlerinde listelerin başında yer aldı.
Ancak sorunlar listelerin aşağılarına doğru birbirinden farklılaşmaya başlıyor. Penetrasyon testleri, uygulamaların dörtte birinde zayıf şifre politikaları ve %22'sinde siteler arası komut dosyası çalıştırma tespit ederken, DAST, testlerin %38'inde yeterli oturum zaman aşımına sahip olmayan uygulamaları ve testlerin %30'unda tıklama hırsızlığına karşı savunmasız olanları tespit etti.
Synopsys'ten Kelly, statik ve dinamik testlerin yanı sıra yazılım kompozisyon analizinin (SCA) hepsinin avantajlara sahip olduğunu ve potansiyel yanlış yapılandırmaları ve güvenlik açıklarını tespit etme şansını en yüksek düzeye çıkarmak için birlikte kullanılması gerektiğini söylüyor.
"Bununla birlikte bütünsel bir yaklaşımın zaman, kaynak ve para gerektirdiğini, dolayısıyla bu pek çok kuruluş için mümkün olmayabilir" diyor. "Süreçte güvenliği tasarlamak için zaman ayırmak aynı zamanda türü ne olursa olsun mümkün olduğunca çok sayıda güvenlik açığının bulunmasına ve ortadan kaldırılmasına yardımcı olabilir, böylece güvenlik proaktif hale gelir ve risk azalır."
Genel olarak şirket, 4,400'den fazla programda yaklaşık 2,700 testten veri topladı. Siteler arası komut dosyası çalıştırma, keşfedilen güvenlik açıklarının %22'sini oluşturarak en yüksek riskli güvenlik açığını oluştururken, SQL enjeksiyonu %4 ile en kritik güvenlik açığı kategorisi oldu.
Yazılım Tedarik Zinciri Tehlikeleri
Açık kaynaklı yazılım içeren Kod tabanlarının neredeyse %80'iKod tabanlarının %81'inin en az bir güvenlik açığına sahip olması ve diğer %85'inin dört yıl güncelliğini yitirmiş bir açık kaynak bileşenine sahip olması pek de şaşırtıcı değil.
Ancak Synopsys, bu endişelere rağmen tedarik zinciri güvenliği ve açık kaynak yazılım bileşenlerindeki güvenlik açıklarının sorunların yalnızca dörtte birini oluşturduğunu buldu. Raporda, Kullanımdaki Savunmasız Üçüncü Taraf Kitaplıkların güvenlik zayıflıkları kategorisinin, sızma testlerinin %21'inde ve statik analiz testlerinin %27'sinde ortaya çıkarıldığı belirtildi.
Kelly, yazılım bileşenlerindeki güvenlik açıklarının beklenenden düşük olmasının bir nedeninin, yazılım kompozisyon analizinin (SCA) daha yaygın olarak kullanılmasından kaynaklanabileceğini söylüyor.
"Bu tür sorunlar, yazılım geliştirme yaşam döngüsünün (SDLC) geliştirme ve DevOps aşamaları gibi erken aşamalarında bulunabilir ve bu da onu üretime sokanların sayısını azaltır" diyor.
