Нове дослідження показує, що майже кожна програма має принаймні одну вразливість або неправильну конфігурацію, яка впливає на безпеку, а чверть тестів програм виявила дуже чи критично серйозну вразливість.
Слабка конфігурація SSL і TLS, відсутність заголовка Content Security Policy (CSP) і витік інформації через серверні банери очолили список проблем із програмним забезпеченням, що мають наслідки для безпеки, відповідно до висновків у новому звіті конгломерату програмного забезпечення та апаратних інструментів Synopsys про вразливості програмного забезпечення 2022, опублікованому сьогодні. . Хоча багато неправильних конфігурацій і вразливостей вважаються середньою або меншою серйозністю, принаймні 25% оцінюються як дуже або критично серйозні.
Проблеми конфігурації часто відносять до менш серйозних проблем, але проблеми конфігурації та кодування однаково ризиковані, каже Рей Келлі, співробітник групи програмної цілісності Synopsys.
«Це просто вказує на те, що [хоча] організації можуть добре виконувати статичне сканування, щоб зменшити кількість вразливостей кодування, вони не беруть до уваги конфігурацію, оскільки це може бути складніше», — говорить він. «На жаль, сканування за допомогою статичного тестування безпеки додатків (SAST) не може виконувати перевірку конфігурації, оскільки [вони не мають] інформації про виробниче середовище, де буде розгорнуто код».
Дані свідчать про переваги використання кількох інструментів для аналізу програмного забезпечення на наявність вразливостей і неправильних налаштувань.
Тести на проникнення, наприклад, виявили 77% проблем зі слабкою конфігурацією SSL/TLS, тоді як динамічне тестування безпеки додатків (DAST) виявило проблему в 81% тестів. Обидві технології, а також тестування безпеки мобільних додатків (MAST) призвели до виявлення проблеми в 82% тестів, згідно зі звітом Synopsys.
Інші фірми з безпеки програм задокументували подібні результати. За останнє десятиліття, наприклад, сканується втричі більше програм, і кожна сканується в 20 разів частіше, Veracode зазначено у своєму звіті «Стан безпеки програмного забезпечення» в лютому. Хоча в цьому звіті було виявлено, що 77% бібліотек сторонніх розробників все ще не усунули виявлену вразливість через три місяці після повідомлення про проблему, виправлений код застосовувався втричі швидше.
Фірми програмного забезпечення, які спільно використовують динамічне та статичне сканування, усунули половину недоліків на 24 дні швидше, заявили у Veracode.
«Постійне тестування та інтеграція, яка включає сканування безпеки в конвеєрах, стає нормою», фірма заявила в блозі в той час.
Не просто SAST, не просто DAST
Synopsys оприлюднив дані з низки різних тестів, у кожному з яких були схожі найпоширеніші злочинці. Слабкі конфігурації технології шифрування, а саме Secure Sockets Layer (SSL) і Transport Layer Security (TLS) — очолювали чарти, наприклад, для статичних, динамічних і мобільних тестів безпеки додатків.
Проте проблеми починають розходитися далі в списках. Тести на проникнення виявили слабку політику паролів у чверті додатків і міжсайтовий сценарій у 22%, тоді як DAST виявив додатки, у яких відсутні адекватні тайм-аути сеансу в 38% тестів і вразливі до клікджекінгу в 30% тестів.
Статичне та динамічне тестування, а також аналіз складу програмного забезпечення (SCA) мають переваги, і їх слід використовувати разом, щоб мати найвищий шанс виявити потенційні неправильні конфігурації та вразливості, каже Келлі з Synopsys.
«Зважаючи на це, цілісний підхід вимагає часу, ресурсів і грошей, тому це може бути неможливим для багатьох організацій», — говорить він. «Витрачення часу на розроблення безпеки в процесі також може допомогти знайти й усунути якомога більше вразливостей — незалежно від їх типу — таким чином, щоб захист був проактивним і ризики були зменшені».
Загалом компанія зібрала дані з майже 4,400 тестів на більш ніж 2,700 програмах. Міжсайтовий скриптинг був найбільшою вразливістю з високим ризиком, на яку припадало 22% виявлених уразливостей, тоді як ін’єкція SQL була найкритичнішою категорією вразливості, на яку припадало 4%.
Небезпеки ланцюга поставок програмного забезпечення
З програмним забезпеченням з відкритим вихідним кодом майже 80% кодових баз, не дивно, що 81% кодових баз мають принаймні одну вразливість, а ще 85% мають компонент із відкритим кодом, який застарів на чотири роки.
Тим не менш, Synopsys виявив, що, незважаючи на ці занепокоєння, вразливі місця в безпеці ланцюга постачання та компонентах програмного забезпечення з відкритим вихідним кодом становлять лише близько чверті проблем. Категорія недоліків безпеки «Вразливі сторонні бібліотеки у використанні» була виявлена в 21% тестів на проникнення та 27% тестів статичного аналізу, йдеться у звіті.
Частково причиною нижчої, ніж очікувалося, уразливості в компонентах програмного забезпечення може бути те, що аналіз складу програмного забезпечення (SCA) став використовуватися більш широко, каже Келлі.
«Такі типи проблем можна виявити на ранніх етапах життєвого циклу розробки програмного забезпечення (SDLC), таких як фази розробки та DevOps, що зменшує кількість тих, хто потрапляє у виробництво», — говорить він.
