Raporun Ocak-Eylül 2022 arasında yaklaşık 1.000 Kuzey Amerika şirketinden temsili örneklemesi, görülen güvenlik açıklarının yalnızca yüzde 13’ünün giderildiğini, bu oranın modern uygulama güvenliği en iyi uygulamalarını kullananlar tarafından düzeltildiğini ortaya çıkardı.
Günümüzde uygulamaların yüzde 70 ila 90’ında kullanılan açık kaynak koduyla, tehdit aktörleri iyileştirme boşluğundan yararlandıkça daha fazla şirket kendilerini saldırılara karşı savunmasız buluyor.
Mend’de Ürün Yönetiminden Sorumlu Başkan Yardımcısı Jeffrey Martin, “Güvenlik borcu artmaya devam ederken, bir saldırıya kurban gitmemek için en yüksek riski oluşturan güvenlik açıklarına öncelik vermenin bir yolunu bulmak çok önemli,” dedi. “Sistemleri en ağır şekilde etkileyebilecek güvenlik açıklarını değerlendirebilen ve öncelik sırasına koyabilen iyileştirme araçlarını kullanmak, menkul kıymet borcunu yönetmenin önemli bir unsurudur. Kuruluşlar, etkili önceliklendirme ve düzeltme sağlamak için yalnızca önem düzeyi ayrıntılarına dikkat etmemeli, aynı zamanda kendi başlarına ve başkalarıyla birlikte kusurların istismar bağlamına da bakmaları gerekiyor.
Şirketler her ay binlerce güvenlik açığını düzeltirken, artan güvenlik açıkları birikimini önlemek için tespit edilen devam eden yeni güvenlik açıkları dalgasını işlemek için modern düzeltme en iyi uygulamaları gerekir.
Açık kaynak güvenlik açıklarındaki artış, mevcut açık kaynak yazılım miktarındaki tahmini yüzde 25’lik artışı geride bırakıyor. Uygulamaların küresel ekonominin can damarı olması nedeniyle, düzenli uygulama güvenliği taraması ve önceliklendirme ve iyileştirme araçlarının kullanımı esastır.
Kötü amaçlı paketler kullanan saldırılar da artıyor. Düzeltme verileri, yayınlanan kötü amaçlı paketlerde üç ayda bir istikrarlı bir artış olduğunu gösteriyor ve bu artış 2022’nin 2. çeyreğinden 3. çeyreğine yüzde 79 sıçradı. Paket yöneticileri npm ve rubygems’e her gün en az 10 kötü amaçlı paket yayınlandı. Bunun da ötesinde, günümüzde daha fazla paket, veri toplamaya olanak tanıyan telemetri içerir ve bazıları, örneğin geçerli içeriğin kötü amaçlı kod içeren bir bağımlılığa sahip olduğu durumlar gibi, artık bir tedarik zincirine yerleştirilmiştir.
“Kötü amaçlı paketlerin sayısı artarken, karmaşıklık da yavaş yavaş yetişiyor. Mend’de Ürün Müdürü Maciej Mensfeld, “Ara kaçırma tekniklerinin temel kaçırma tekniklerinin üzerine yerleştirildiğini görmeye başlıyoruz” dedi. “Devam eden güvenlik kedi fare oyununda, kötü niyetli aktörlerin her zaman karşılaşabilecekleri engelleri aşmak için motive olduklarını biliyoruz. Saldırıların bir adım önünde olmak için şirketlerin, özellikle kötü amaçlı paketleri tarayanlar olmak üzere uygulama güvenlik araçlarından yararlandıklarından emin olmaları gerekiyor.”