Akıllı yazılım güvenliğinin önde gelen küresel tedarikçisi Veracode, bugün Avrupa, Orta Doğu ve Afrika’daki kuruluşlar tarafından geliştirilen uygulamaların ABD’deki benzerleri tarafından oluşturulanlardan daha fazla güvenlik açığı içerdiğini gösteren bir araştırma yayınladı. Analiz edilen tüm bölgeler arasında EMEA aynı zamanda en yüksek “yüksek önem derecesine sahip” kusur yüzdesine sahiptir; bu da bunların kötüye kullanılması durumunda işletme için kritik bir soruna neden olacağı anlamına gelir. Uygulamalardaki çok sayıda kusur ve güvenlik açığı, artan risk düzeyleriyle ilişkilidir; bu, özellikle yazılım tedarik zinciri siber saldırılarının 2023’te manşetlere hakim olması nedeniyle dikkat çekicidir.
Araştırmacılar, EMEA kuruluşları tarafından geliştirilen uygulamaların yüzde 80’inden biraz fazlasında, son 12 ayda yapılan en son taramalarda en az bir güvenlik açığının tespit edildiğini, ABD kuruluşlarında ise bu oranın yüzde 73’ün biraz altında olduğunu buldu. Ayrıca ‘yüksek önemde’ kusurlar içeren uygulamaların yüzdesi neredeyse yüzde 20 ile tüm bölgeler arasında en yüksek seviyedeydi.
Veracode Baş Araştırma Sorumlusu Chris Eng, “Verilerimiz, kuruluşların küresel olarak CWE Top 25’te çok sayıda kusur içeren endişe verici sayıda uygulamayı dağıtmaya devam ettiğini gösteriyor” dedi. “Ancak, özellikle üçüncü taraf veya açık kaynak kod kullanımı ve uygulama yaşam döngüsü boyunca güvenlik açıklarının ortaya çıkma biçimleri açısından ilginç bölgesel farklılıklar tespit ettik” diye devam etti.
750.000 uygulamadaki 27 milyondan fazla taramadan toplanan verilerin analizi, Veracode’un Yazılım Güvenliğinin Durumu hakkındaki en son yıllık raporunun hazırlanmasına yardımcı oldu. Bu yeni rapor, Birleşik Krallık, Almanya, Fransa, İtalya ile Orta Doğu ve Afrika genelindeki sonuçlar da dahil olmak üzere bu taramalardan ve uygulamalardan elde edilen EMEA’ya özgü bulguları sergiliyor.
Rakamlar tek başına bilgisayar korsanlarının yazılım açıklarından yararlanmasının sonuçlarını yansıtmaz. EMEA genelindeki kuruluşların hizmetlerini sunmak için giderek daha karmaşık bir üçüncü taraf yazılım karışımı kullanması nedeniyle, ciddi bir güvenlik açığından yararlanılması aynı anda binlerce kurbanı etkileyebilir. Bu yılın başlarında, PaperCut MF ve PaperCut NG yazdırma yazılımı araçlarını etkileyen bir güvenlik açığı, tehdit aktörleri tarafından aktif olarak kötüye kullanıldı. 200 ülkede 70.000’e yakın kuruluş potansiyel kurban haline geldi ve kolluk kuvvetleri raporları, tehdit aktörlerinin eğitim sektöründeki savunmasız kuruluşlara başarılı bir şekilde zarar verdiğini tespit etti.
Java ve Üçüncü Taraf Kodu Önemli Güvenlik Kusurlarına Neden Olur
Araştırma, tercih edilen dil kullanımında önemli bölgesel farklılıklar tespit etti ve Java’nın EMEA’daki geliştiriciler için tercih edilen dil olduğu ortaya çıktı. Java kullanan ekiplerin, kusurları .NET veya JavaScript kullananlara göre daha yavaş bir oranda düzelttikleri ve bu kusurların çoğunun kalıcı olmasına veya önemli ölçüde daha uzun süre keşfedilmeden kalmasına neden olduğu görüldü. Ayrıca, Java uygulamalarının yüzde 95’inden fazlası üçüncü taraf veya açık kaynak kodundan oluştuğundan, Java kullanımı, bölgedeki uygulamalarda ortaya çıkan güvenlik açıklarının yüzdesinin daha yüksek olmasında önemli bir faktördür. Bu, açık kaynak kodundaki kusurları tespit eden yazılım kompozisyon analizinin (SCA) önemini vurgulamaktadır ve araştırma, SCA tarafından EMEA’da diğer bölgelere göre daha yüksek oranda kusur rapor edildiğini ortaya çıkarmıştır.
Üretken yapay zeka, yazılım geliştirmede güçlü bir ilgi görmeye devam ettikçe, dış kaynaklardan kaynaklanan güvenlik açıkları riski de artıyor. 2022’de Black Hat’te sunulan bir çalışma, milyonlarca halka açık GitHub deposu da dahil olmak üzere çok sayıda işlenmemiş veri üzerinde eğitilmiş büyük dil modelleri tarafından yazılan kodun yüzde 40’ında güvenlik açıkları olduğunu gösterdi. Bu nedenle kuruluşların kusurları bulup düzeltmek için SCA araçlarından yararlanması, geliştiricilerin uygulamaların güvenliğinden ödün vermeden yapay zekadan yararlanmalarına olanak sağlaması hayati önem taşıyor.
Uygulamalar Zamanla Daha Savunmasız Hale Geliyor
Araştırma aynı zamanda tüm uygulama yaşam döngüsü boyunca EMEA uygulamalarında diğer bölgelere kıyasla çok daha yüksek oranda yeni kusurların ortaya çıkmaya devam ettiğini gösterdi. EMEA kuruluşları uygulamaları güncellemeye devam ederken kaliteye daha az odaklanıldı. Beş yıllık bir sürenin ardından, EMEA’daki uygulamaların yüzde 50’si yeni kusurlar oluşturmaya devam ederken, dünyanın geri kalanında bu oran yüzde 30’un biraz üzerindedir. Genel olarak herhangi bir ayda bir kusurun ortaya çıkması ihtimali temel olarak yüzde 27 idi.
Bu nedenle, EMEA kuruluşları uygulama yaşam döngüsünün ikinci kısmına daha fazla dikkat etmekten ve uygulamaları daha düzenli taramaktan fayda sağlayacaktır. Ayrıca, 10 etkileşimli güvenlik laboratuvarının tamamlanmasının herhangi bir ayda kusur oluşma olasılığını yüzde 27’den yaklaşık yüzde 25’e düşürdüğünü ortaya koyan araştırmayla, geliştiriciler için güvenlik eğitimine de öncelik vermeleri gerekiyor.
Eng, “Bu yılki Yazılım Güvenliği Durumu raporu, tüm yazılım yaşam döngüsü boyunca güvenliğin öneminin yanı sıra üçüncü taraf ve yapay zeka tarafından oluşturulan kodların oluşturduğu risklerin acil olarak ele alınması ihtiyacına ışık tutuyor” diye ekledi. “Küresel olarak hala endişe verici miktarda güvenlik açığı görüyor olsak da, bu rakamlar neredeyse tüm ölçümlerde EMEA’da daha yüksek. Bu bölgedeki geliştirme ekipleri, düzenli tarama için yazılım güvenliğini otomatikleştirme fırsatını değerlendirmeli ve hem güvenliği artırmak hem de geliştiricileri güçlendirmek için yapay zeka araçlarını dikkatli bir şekilde değerlendirmelidir.”
Veracode Yazılım Güvenliği Durumu EMEA 2023, yazılım geliştirme ekiplerinin siber güvenlik duruşlarını iyileştirmek için gerçekleştirebilecekleri dört eylemi öneriyor ve buradan indirilebilir.
Küresel Veracode Yazılım Güvenliği Durumu 2023 raporu indirilebilir.