Một nghiên cứu mới cho thấy gần như mọi ứng dụng đều có ít nhất một lỗ hổng hoặc cấu hình sai ảnh hưởng đến bảo mật và XNUMX/XNUMX số lần kiểm tra ứng dụng đã tìm thấy lỗ hổng nghiêm trọng hoặc nghiêm trọng.
Cấu hình SSL và TLS yếu, thiếu tiêu đề Chính sách bảo mật nội dung (CSP) và rò rỉ thông tin qua biểu ngữ máy chủ đứng đầu danh sách các sự cố phần mềm có liên quan đến bảo mật, theo phát hiện trong báo cáo Ảnh chụp lỗ hổng phần mềm 2022 mới của tập đoàn công cụ phần mềm Synopsys được công bố hôm nay. . Mặc dù nhiều cấu hình sai và lỗ hổng bảo mật được coi là ở mức độ nghiêm trọng trung bình hoặc thấp hơn, nhưng ít nhất 25% được đánh giá là rất nghiêm trọng hoặc cực kỳ nghiêm trọng.
Ray Kelly, một thành viên của Nhóm toàn vẹn phần mềm tại Synopsys, cho biết các vấn đề về cấu hình thường được đặt trong một nhóm ít nghiêm trọng hơn, nhưng cả vấn đề về cấu hình và mã hóa đều có rủi ro như nhau.
“Điều này thực sự chỉ ra rằng, [trong khi] các tổ chức có thể thực hiện tốt việc quét tĩnh để giảm số lượng lỗ hổng mã hóa, nhưng họ lại không tính đến cấu hình vì việc này có thể khó khăn hơn,” ông nói. “Thật không may, quá trình quét kiểm tra bảo mật ứng dụng tĩnh (SAST) không thể thực hiện kiểm tra cấu hình vì [họ] không có kiến thức về môi trường sản xuất nơi mã sẽ được triển khai.”
Dữ liệu lập luận về lợi ích của việc sử dụng nhiều công cụ để phân tích phần mềm để tìm các lỗ hổng và cấu hình sai.
Ví dụ: kiểm tra thâm nhập đã phát hiện ra 77% vấn đề về cấu hình SSL/TLS yếu, trong khi kiểm tra bảo mật ứng dụng động (DAST) đã phát hiện ra vấn đề trong 81% kiểm tra. Cả hai công nghệ, cộng với thử nghiệm bảo mật ứng dụng di động (MAST), đã dẫn đến vấn đề được phát hiện trong 82% thử nghiệm, theo báo cáo Synopsys.
Các công ty bảo mật ứng dụng khác đã ghi lại kết quả tương tự. Ví dụ, trong thập kỷ qua, số ứng dụng được quét nhiều hơn ba lần và mỗi ứng dụng được quét thường xuyên hơn 20 lần, Veracode được nêu trong báo cáo “Trạng thái bảo mật phần mềm” vào tháng 2. Mặc dù báo cáo đó cho thấy rằng 77% thư viện của bên thứ ba vẫn chưa loại bỏ lỗ hổng được tiết lộ ba tháng sau khi sự cố được báo cáo, nhưng mã đã vá đã được áp dụng nhanh hơn gấp ba lần.
Veracode cho biết các công ty phần mềm sử dụng quét động và tĩnh đồng thời đã khắc phục một nửa số lỗi nhanh hơn 24 ngày.
“Thử nghiệm và tích hợp liên tục, bao gồm quét bảo mật trong đường ống, đang trở thành tiêu chuẩn,” công ty đã nêu trong một bài đăng trên blog vào thời điểm đó.
Không chỉ SAST, Không chỉ DAST
Synopsys đã công bố dữ liệu từ nhiều bài kiểm tra khác nhau với mỗi bài kiểm tra đều có những người vi phạm hàng đầu tương tự nhau. Ví dụ, các cấu hình yếu của công nghệ mã hóa — cụ thể là Lớp cổng bảo mật (SSL) và Bảo mật lớp vận chuyển (TLS) — đứng đầu bảng xếp hạng cho các thử nghiệm bảo mật ứng dụng tĩnh, động và ứng dụng di động.
Tuy nhiên, các vấn đề bắt đầu phân kỳ xa hơn trong danh sách. Các thử nghiệm thâm nhập đã xác định các chính sách mật khẩu yếu trong 22/38 số ứng dụng và tập lệnh giữa các trang trong 30%, trong khi DAST xác định các ứng dụng thiếu thời gian chờ phiên đầy đủ trong XNUMX% thử nghiệm và những ứng dụng dễ bị clickjacking trong XNUMX% thử nghiệm.
Kelly của Synopsys cho biết, thử nghiệm tĩnh và động cũng như phân tích thành phần phần mềm (SCA) đều có những ưu điểm và nên được sử dụng cùng nhau để có cơ hội cao nhất phát hiện các cấu hình sai và lỗ hổng tiềm ẩn.
Ông nói: “Phải nói rằng, một cách tiếp cận toàn diện cần có thời gian, nguồn lực và tiền bạc, vì vậy điều này có thể không khả thi đối với nhiều tổ chức”. “Dành thời gian để thiết kế bảo mật trong quy trình cũng có thể giúp tìm và loại bỏ càng nhiều lỗ hổng càng tốt — bất kể loại lỗ hổng nào — trong quá trình thực hiện để bảo mật được chủ động và giảm thiểu rủi ro.”
Nhìn chung, công ty đã thu thập dữ liệu từ gần 4,400 bài kiểm tra trên hơn 2,700 chương trình. Cross-site Scripting là lỗ hổng có nguy cơ cao hàng đầu, chiếm 22% các lỗ hổng được phát hiện, trong khi SQL injection là loại lỗ hổng nghiêm trọng nhất, chiếm 4%.
Nguy hiểm chuỗi cung ứng phần mềm
Với phần mềm mã nguồn mở bao gồm gần 80% cơ sở mã, không có gì ngạc nhiên khi 81% cơ sở mã có ít nhất một lỗ hổng và 85% khác có thành phần nguồn mở đã lỗi thời XNUMX năm.
Tuy nhiên, Synopsys phát hiện ra rằng, bất chấp những lo ngại đó, các lỗ hổng bảo mật chuỗi cung ứng và các thành phần phần mềm nguồn mở chỉ chiếm khoảng một phần tư các vấn đề. Báo cáo cho biết danh mục các điểm yếu bảo mật đang sử dụng của Thư viện bên thứ ba dễ bị tổn thương đã được phát hiện trong 21% các bài kiểm tra thâm nhập và 27% các bài kiểm tra phân tích tĩnh.
Kelly cho biết một phần lý do khiến các lỗ hổng trong các thành phần phần mềm thấp hơn dự kiến có thể là do phân tích thành phần phần mềm (SCA) đã được sử dụng rộng rãi hơn.
Ông nói: “Những loại vấn đề này có thể được tìm thấy trong giai đoạn đầu của vòng đời phát triển phần mềm (SDLC), chẳng hạn như giai đoạn phát triển và DevOps, điều này làm giảm số lượng sản phẩm được đưa vào sản xuất”.
