Akıllı yazılım güvenliÄŸinin önde gelen küresel tedarikçisi Veracode, bugün Avrupa, Orta DoÄŸu ve Afrika’daki kuruluÅŸlar tarafından geliÅŸtirilen uygulamaların ABD’deki benzerleri tarafından oluÅŸturulanlardan daha fazla güvenlik açığı içerdiÄŸini gösteren bir araÅŸtırma yayınladı. Analiz edilen tüm bölgeler arasında EMEA aynı zamanda en yüksek “yüksek önem derecesine sahip” kusur yüzdesine sahiptir; bu da bunların kötüye kullanılması durumunda iÅŸletme için kritik bir soruna neden olacağı anlamına gelir. Uygulamalardaki çok sayıda kusur ve güvenlik açığı, artan risk düzeyleriyle iliÅŸkilidir; bu, özellikle yazılım tedarik zinciri siber saldırılarının 2023’te manÅŸetlere hakim olması nedeniyle dikkat çekicidir.
AraÅŸtırmacılar, EMEA kuruluÅŸları tarafından geliÅŸtirilen uygulamaların yüzde 80’inden biraz fazlasında, son 12 ayda yapılan en son taramalarda en az bir güvenlik açığının tespit edildiÄŸini, ABD kuruluÅŸlarında ise bu oranın yüzde 73’ün biraz altında olduÄŸunu buldu. Ayrıca ‘yüksek önemde’ kusurlar içeren uygulamaların yüzdesi neredeyse yüzde 20 ile tüm bölgeler arasında en yüksek seviyedeydi.
Veracode BaÅŸ AraÅŸtırma Sorumlusu Chris Eng, “Verilerimiz, kuruluÅŸların küresel olarak CWE Top 25’te çok sayıda kusur içeren endiÅŸe verici sayıda uygulamayı dağıtmaya devam ettiÄŸini gösteriyor” dedi. “Ancak, özellikle üçüncü taraf veya açık kaynak kod kullanımı ve uygulama yaÅŸam döngüsü boyunca güvenlik açıklarının ortaya çıkma biçimleri açısından ilginç bölgesel farklılıklar tespit ettik” diye devam etti.
750.000 uygulamadaki 27 milyondan fazla taramadan toplanan verilerin analizi, Veracode’un Yazılım GüvenliÄŸinin Durumu hakkındaki en son yıllık raporunun hazırlanmasına yardımcı oldu. Bu yeni rapor, BirleÅŸik Krallık, Almanya, Fransa, Ä°talya ile Orta DoÄŸu ve Afrika genelindeki sonuçlar da dahil olmak üzere bu taramalardan ve uygulamalardan elde edilen EMEA’ya özgü bulguları sergiliyor.
Rakamlar tek başına bilgisayar korsanlarının yazılım açıklarından yararlanmasının sonuçlarını yansıtmaz. EMEA genelindeki kuruluÅŸların hizmetlerini sunmak için giderek daha karmaşık bir üçüncü taraf yazılım karışımı kullanması nedeniyle, ciddi bir güvenlik açığından yararlanılması aynı anda binlerce kurbanı etkileyebilir. Bu yılın baÅŸlarında, PaperCut MF ve PaperCut NG yazdırma yazılımı araçlarını etkileyen bir güvenlik açığı, tehdit aktörleri tarafından aktif olarak kötüye kullanıldı. 200 ülkede 70.000’e yakın kuruluÅŸ potansiyel kurban haline geldi ve kolluk kuvvetleri raporları, tehdit aktörlerinin eÄŸitim sektöründeki savunmasız kuruluÅŸlara baÅŸarılı bir ÅŸekilde zarar verdiÄŸini tespit etti.
Java ve Üçüncü Taraf Kodu Önemli Güvenlik Kusurlarına Neden Olur
AraÅŸtırma, tercih edilen dil kullanımında önemli bölgesel farklılıklar tespit etti ve Java’nın EMEA’daki geliÅŸtiriciler için tercih edilen dil olduÄŸu ortaya çıktı. Java kullanan ekiplerin, kusurları .NET veya JavaScript kullananlara göre daha yavaÅŸ bir oranda düzelttikleri ve bu kusurların çoÄŸunun kalıcı olmasına veya önemli ölçüde daha uzun süre keÅŸfedilmeden kalmasına neden olduÄŸu görüldü. Ayrıca, Java uygulamalarının yüzde 95’inden fazlası üçüncü taraf veya açık kaynak kodundan oluÅŸtuÄŸundan, Java kullanımı, bölgedeki uygulamalarda ortaya çıkan güvenlik açıklarının yüzdesinin daha yüksek olmasında önemli bir faktördür. Bu, açık kaynak kodundaki kusurları tespit eden yazılım kompozisyon analizinin (SCA) önemini vurgulamaktadır ve araÅŸtırma, SCA tarafından EMEA’da diÄŸer bölgelere göre daha yüksek oranda kusur rapor edildiÄŸini ortaya çıkarmıştır.
Ãœretken yapay zeka, yazılım geliÅŸtirmede güçlü bir ilgi görmeye devam ettikçe, dış kaynaklardan kaynaklanan güvenlik açıkları riski de artıyor. 2022’de Black Hat’te sunulan bir çalışma, milyonlarca halka açık GitHub deposu da dahil olmak üzere çok sayıda iÅŸlenmemiÅŸ veri üzerinde eÄŸitilmiÅŸ büyük dil modelleri tarafından yazılan kodun yüzde 40’ında güvenlik açıkları olduÄŸunu gösterdi. Bu nedenle kuruluÅŸların kusurları bulup düzeltmek için SCA araçlarından yararlanması, geliÅŸtiricilerin uygulamaların güvenliÄŸinden ödün vermeden yapay zekadan yararlanmalarına olanak saÄŸlaması hayati önem taşıyor.
Uygulamalar Zamanla Daha Savunmasız Hale Geliyor
AraÅŸtırma aynı zamanda tüm uygulama yaÅŸam döngüsü boyunca EMEA uygulamalarında diÄŸer bölgelere kıyasla çok daha yüksek oranda yeni kusurların ortaya çıkmaya devam ettiÄŸini gösterdi. EMEA kuruluÅŸları uygulamaları güncellemeye devam ederken kaliteye daha az odaklanıldı. BeÅŸ yıllık bir sürenin ardından, EMEA’daki uygulamaların yüzde 50’si yeni kusurlar oluÅŸturmaya devam ederken, dünyanın geri kalanında bu oran yüzde 30’un biraz üzerindedir. Genel olarak herhangi bir ayda bir kusurun ortaya çıkması ihtimali temel olarak yüzde 27 idi.
Bu nedenle, EMEA kuruluÅŸları uygulama yaÅŸam döngüsünün ikinci kısmına daha fazla dikkat etmekten ve uygulamaları daha düzenli taramaktan fayda saÄŸlayacaktır. Ayrıca, 10 etkileÅŸimli güvenlik laboratuvarının tamamlanmasının herhangi bir ayda kusur oluÅŸma olasılığını yüzde 27’den yaklaşık yüzde 25’e düşürdüğünü ortaya koyan araÅŸtırmayla, geliÅŸtiriciler için güvenlik eÄŸitimine de öncelik vermeleri gerekiyor.
Eng, “Bu yılki Yazılım GüvenliÄŸi Durumu raporu, tüm yazılım yaÅŸam döngüsü boyunca güvenliÄŸin öneminin yanı sıra üçüncü taraf ve yapay zeka tarafından oluÅŸturulan kodların oluÅŸturduÄŸu risklerin acil olarak ele alınması ihtiyacına ışık tutuyor” diye ekledi. “Küresel olarak hala endiÅŸe verici miktarda güvenlik açığı görüyor olsak da, bu rakamlar neredeyse tüm ölçümlerde EMEA’da daha yüksek. Bu bölgedeki geliÅŸtirme ekipleri, düzenli tarama için yazılım güvenliÄŸini otomatikleÅŸtirme fırsatını deÄŸerlendirmeli ve hem güvenliÄŸi artırmak hem de geliÅŸtiricileri güçlendirmek için yapay zeka araçlarını dikkatli bir ÅŸekilde deÄŸerlendirmelidir.”
Veracode Yazılım Güvenliği Durumu EMEA 2023, yazılım geliştirme ekiplerinin siber güvenlik duruşlarını iyileştirmek için gerçekleştirebilecekleri dört eylemi öneriyor ve buradan indirilebilir.
Küresel Veracode Yazılım Güvenliği Durumu 2023 raporu indirilebilir.