ایک نئی تحقیق سے پتہ چلتا ہے کہ تقریباً ہر ایپلیکیشن میں کم از کم ایک کمزوری یا غلط کنفیگریشن ہوتی ہے جو سیکیورٹی کو متاثر کرتی ہے اور ایک چوتھائی ایپلیکیشن ٹیسٹوں میں انتہائی یا شدید خطرہ پایا جاتا ہے۔
آج شائع ہونے والی سافٹ ویئر اور ہارڈویئر ٹولز کے گروپ Synopsys کی نئی سافٹ ویئر ولنریبلٹیز اسنیپ شاٹ 2022 رپورٹ میں پائے جانے والے نتائج کے مطابق کمزور SSL اور TLS کنفیگریشن، گمشدہ کنٹینٹ سیکیورٹی پالیسی (CSP) ہیڈر، اور سرور بینرز کے ذریعے معلومات کا رساؤ سیکیورٹی مضمرات کے ساتھ سافٹ ویئر کے مسائل کی فہرست میں سرفہرست ہے۔ . اگرچہ بہت سی غلط کنفیگریشنز اور کمزوریوں کو درمیانی یا اس سے کم شدت کا سمجھا جاتا ہے، کم از کم 25% کو انتہائی یا شدید طور پر شدید درجہ دیا جاتا ہے۔
Synopsys میں سافٹ ویئر انٹیگریٹی گروپ کے ساتھی رے کیلی کا کہنا ہے کہ کنفیگریشن کے مسائل اکثر کم شدید بالٹی میں ڈالے جاتے ہیں، لیکن ترتیب اور کوڈنگ کے مسائل دونوں یکساں طور پر خطرناک ہیں۔
"یہ واقعی صرف اس بات کی نشاندہی کرتا ہے کہ، [جبکہ] تنظیمیں کوڈنگ کے خطرات کی تعداد کو کم کرنے کے لیے جامد اسکین انجام دینے میں اچھا کام کر رہی ہیں، وہ کنفیگریشن کو خاطر میں نہیں لے رہے ہیں، کیونکہ یہ زیادہ مشکل ہوسکتا ہے،" وہ کہتے ہیں۔ "بدقسمتی سے، سٹیٹک ایپلیکیشن سیکیورٹی ٹیسٹنگ (SAST) اسکین کنفیگریشن چیک نہیں کر سکتے کیونکہ [انہیں] پیداواری ماحول کا کوئی علم نہیں ہے جہاں کوڈ کو تعینات کیا جائے گا۔"
ڈیٹا کمزوریوں اور غلط کنفیگریشنز کے لیے سافٹ ویئر کا تجزیہ کرنے کے لیے متعدد ٹولز استعمال کرنے کے فوائد کی دلیل دیتا ہے۔
دخول ٹیسٹ، مثال کے طور پر، کمزور SSL/TLS کنفیگریشن کے مسائل کا 77% پتہ چلا، جبکہ ڈائنامک ایپلیکیشن سیکیورٹی ٹیسٹنگ (DAST) نے 81% ٹیسٹوں میں اس مسئلے کا پتہ لگایا۔ دونوں ٹیکنالوجیز کے علاوہ موبائل ایپلیکیشن سیکیورٹی ٹیسٹنگ (MAST) کی وجہ سے 82% ٹیسٹوں میں مسئلہ دریافت ہوا، Synopsys کی رپورٹ کے مطابق.
دیگر ایپلیکیشن سیکیورٹی فرموں نے بھی اسی طرح کے نتائج کو دستاویز کیا ہے۔ پچھلی دہائی کے دوران، مثال کے طور پر، تین گنا زیادہ ایپلی کیشنز کو اسکین کیا گیا ہے، اور ہر ایک کو 20 گنا زیادہ کثرت سے اسکین کیا جاتا ہے، Veracode فروری میں اپنی "اسٹیٹ آف سافٹ ویئر سیکیورٹی" رپورٹ میں کہا گیا۔. جب کہ اس رپورٹ میں پتا چلا ہے کہ 77% فریق ثالث کی لائبریریوں نے اس مسئلے کی اطلاع کے تین ماہ بعد بھی انکشاف شدہ خطرے کو ختم نہیں کیا تھا، پیچ شدہ کوڈ تین گنا تیزی سے لاگو کیا گیا تھا۔
ویراکوڈ نے کہا کہ کنسرٹ میں متحرک اور جامد اسکیننگ کا استعمال کرنے والی سافٹ ویئر فرموں نے نصف خامیوں کو 24 دن تیزی سے دور کیا۔
"مسلسل جانچ اور انضمام، جس میں پائپ لائنوں میں سیکورٹی سکیننگ شامل ہے، معمول بنتا جا رہا ہے،" فرم نے اس وقت ایک بلاگ پوسٹ میں کہا.
نہ صرف SAST، نہ صرف DAST
Synopsys نے مختلف قسم کے مختلف ٹیسٹوں سے ڈیٹا جاری کیا جس میں ہر ایک میں ایک جیسے سرفہرست مجرم تھے۔ انکرپشن ٹیکنالوجی کی کمزور کنفیگریشنز — یعنی سیکیور ساکٹ لیئر (SSL) اور ٹرانسپورٹ لیئر سیکیورٹی (TLS) — مثال کے طور پر، جامد، متحرک، اور موبائل ایپلیکیشن سیکیورٹی ٹیسٹ کے لیے چارٹ میں سرفہرست ہیں۔
اس کے باوجود، فہرستوں کو مزید نیچے ہٹانے کے لیے مسائل ستارے ہیں۔ دخول ٹیسٹوں نے ایک چوتھائی ایپلی کیشنز میں کمزور پاس ورڈ پالیسیوں اور 22% میں کراس سائٹ اسکرپٹنگ کی نشاندہی کی، جب کہ DAST نے 38% ٹیسٹوں میں مناسب سیشن ٹائم آؤٹ کی کمی اور 30% ٹیسٹوں میں کلک جیکنگ کے خطرے سے دوچار ایپلی کیشنز کی نشاندہی کی۔
Synopsys کی کیلی کا کہنا ہے کہ جامد اور متحرک ٹیسٹنگ کے ساتھ ساتھ سافٹ ویئر کمپوزیشن اینالیسس (SCA) کے تمام فوائد ہیں اور ممکنہ غلط کنفیگریشنز اور کمزوریوں کا پتہ لگانے کے لیے سب سے زیادہ موقع کے لیے ان کا استعمال کیا جانا چاہیے۔
"یہ کہنے کے بعد، ایک جامع نقطہ نظر میں وقت، وسائل اور پیسہ لگتا ہے، لہذا یہ بہت سی تنظیموں کے لیے ممکن نہیں ہو سکتا،" وہ کہتے ہیں۔ "اس عمل میں سیکیورٹی کو ڈیزائن کرنے کے لیے وقت نکالنے سے زیادہ سے زیادہ خطرات کو تلاش کرنے اور ختم کرنے میں بھی مدد مل سکتی ہے - راستے میں ان کی نوعیت کچھ بھی ہو - تاکہ سیکیورٹی فعال ہو اور خطرہ کم ہو۔"
مجموعی طور پر کمپنی نے 4,400 سے زیادہ پروگراموں پر تقریباً 2,700 ٹیسٹوں سے ڈیٹا اکٹھا کیا۔ کراس سائٹ اسکرپٹنگ سرفہرست ہائی رسک کمزوری تھی، جس میں 22 فیصد خطرات دریافت ہوئے، جب کہ ایس کیو ایل انجیکشن سب سے زیادہ خطرناک خطرے کا زمرہ تھا، جو کہ 4 فیصد ہے۔
سافٹ ویئر سپلائی چین کے خطرات
اوپن سورس سافٹ ویئر پر مشتمل ہے۔ کوڈ بیس کا تقریباً 80 فیصدیہ حیرت کی بات نہیں ہے کہ 81% کوڈ بیس میں کم از کم ایک کمزوری ہے اور دوسرے 85% میں اوپن سورس جزو ہے جو چار سال پرانا ہے۔
پھر بھی، Synopsys نے پایا کہ، ان خدشات کے باوجود، سپلائی چین سیکیورٹی اور اوپن سورس سافٹ ویئر کے اجزاء میں کمزوریاں صرف ایک چوتھائی مسائل کے لیے ہیں۔ رپورٹ میں کہا گیا ہے کہ کمزور تھرڈ پارٹی لائبریریوں کے استعمال کے زمرے میں سیکورٹی کی کمزوریوں کا 21% دخول ٹیسٹ اور 27% جامد تجزیہ ٹیسٹوں میں پردہ اٹھایا گیا۔
کیلی کا کہنا ہے کہ سافٹ ویئر کے اجزاء میں متوقع سے کم کمزوریوں کی وجہ یہ ہو سکتی ہے کہ سافٹ ویئر کمپوزیشن اینالیسس (SCA) زیادہ وسیع پیمانے پر استعمال ہو گیا ہے۔
"اس قسم کے مسائل سافٹ ویئر ڈویلپمنٹ لائف سائیکل (SDLC) کے ابتدائی مراحل میں پائے جا سکتے ہیں، جیسے کہ ڈیولپمنٹ اور ڈی او اوپس کے مراحل، جو اسے پیداوار میں لانے والی تعداد کو کم کر دیتے ہیں،" وہ کہتے ہیں۔
