Datadog Durum of of DeVSecops 2025 raporuna göre, web uygulamaları bilinen açığa çıkabilir güvenlik açıkları, tedarik zinciri saldırıları ve CI/CD’deki güvensiz kimlik konfigürasyonları dahil olmak üzere çok çeşitli risklerle karşı karşıyadır.
Java hizmetlerinin% 14’ü hala en az bir güvenlik açığı içeriyor
Bilinen üçüncü taraf güvenlik açıklarını tanımlamak için bir uygulama veri kümesini analiz ederek, hizmetlerin% 15’inin, kuruluşların% 30’unu etkileyen bilinen tükenmiş güvenlik açıklarına karşı savunmasız olduğu bulunmuştur.
Özellikle Java hizmetleri arasında yaygındır, uygulamaların% 44’ü bilinen bir şekilde yetersiz bir güvenlik açığı içermektedir. Rapordaki diğer hizmetler arasında bilinen bir şekilde incelenmiş bir güvenlik açığı olan ortalama uygulama sayısı (Go, Python, .NET, PHP, Ruby ve JavaScript) sadece%2 idi.
Aslında, Java hizmetlerinin% 14’ü, Log4shell, Spring4shell ve yaygın olarak sömürülen diğer saldırı vektörleri gibi bilinen uzaktan kod yürütme (RCE) sorunları gibi yüksek etkili güvenlik açıkları göz önüne alındığında bile en az bir güvenlik açığı içermektedir.
Yüksek etkili güvenlik açıkları içerme olasılığının daha yüksek olmasının yanı sıra, Java uygulamaları da diğer programlama ekosistemlerinden daha yavaş yamalıdır. Java tabanlı Apache Maven ekosisteminden gelen uygulamalar, .NET tabanlı ekosistem içindeki 46 güne kıyasla kütüphane düzeltmeleri için ortalama 62 gün ve JavaScript tabanlı NPM paketleri kullanılarak oluşturulan uygulamalar için 19 gün sürdü.
Kuruluşların% 88’i, potansiyel olarak maruz kalan hassas dosyalar veya API yolları için tarama yaparak to /backup.sql gibi istenmeyen kötü amaçlı HTTP talepleri aldı.
Bir güvenlik açığının ciddiyetini daha iyi anlamak için Datadog, çalışma zamanı bağlamında ortak güvenlik açığı puanlama sistemi (CVSS) temel puanına çarpan bir önceliklendirme algoritması geliştirdi.
Çalışma zamanı bağlamının eklenmesi, bir güvenlik açığı hakkında faktörler sağladı – örneğin, güvenlik açığının bir üretim ortamında çalışıp çalışmadığı veya güvenlik açığının bulunduğu uygulamanın İnternet’e maruz kalması – CVSS’nin dikkate alınmadığı. Bu, gürültünün azaltılmasına ve en acil sorunları belirlemeye yardımcı oldu. Çalışma zamanı bağlamı uygulandıktan sonra, kritik bir CVSS skoruna sahip olan güvenlik açıklarının sadece% 18’inin – beşte birinden daha az – hala kritik olduğu düşünülmüştür.
Saldırganlar yazılım tedarik zincirini hedeflemeye devam ediyor
Araştırmacılar binlerce kötü niyetli PYPI ve NPM kütüphanesi tanımladılar-bu paketlerin bazıları doğası gereği kötü niyetli ve meşru bir paketi taklit etmeye çalıştı (örneğin, Pasaportlar-JS, meşru pasaport kütüphanesini taklit eden). Diğerleri popüler, meşru bağımlılıkların (Ultralitik, Solana Web3.js ve Lottie-Player gibi) aktif devralmalarıydı. Bu teknikler hem devlet destekli aktörler hem de siber suçlular tarafından kullanılmaktadır.
Veri ihlallerinin en yaygın nedenlerinden biri uzun ömürlü kimlik bilgileridir. Geçen yıl, kuruluşların% 63’ü GitHub eylemleri boru hatlarını doğrulamak için en az bir kez uzun ömürlü bir kimlik bilgisi kullandı. Bu yıl, bu sayı%58’e düştü, bu da kuruluşların kimlik bilgisi yönetim süreçlerini yavaş yavaş iyileştirdiğine dair olumlu bir işaret.
Tüm programlama dillerinde, bağımlılıklar en son büyük güncellemelerinin aylar gerisindedir. Ve daha az sıkça konuşlandırılanların güncel olmayan kütüphaneler kullanma olasılığı daha yüksektir-ayda bir kez daha az konuşlandırılan hizmetlere bağımlılıklar, günlük olarak konuşlandırılanlardan% 47 daha eskidir. Bu, geliştiriciler için bir sorundur, çünkü modası geçmiş kütüphaneler, bir bağımlılığın eşleştirilmemiş, sömürülebilir güvenlik açıkları içerme olasılığını artırabilir.
“Rapor, güvenlik mühendislerinin bu kadar şiddetli olmayan güvenlik açıkları için çok zaman harcadığını tespit etti,” dedi Datadog Güvenlik Savunuculuğu Başkanı Andrew Krug. “Büyük miktarda gürültü güvenlik ekiplerinin ele alması gereken önemli bir konudur, çünkü gerçekten kritik güvenlik açıklarını önceliklendirmekten uzaklaşır. Eğer savunucular daha az zaman harcayabilirlerse, kuruluşlarının saldırı yüzeyini daha hızlı azaltabilirler. Halka açık uygulamalar için üretim ortamlarında çalışan, en büyük gerçeklik geliştirmeleri sağlayacak kolay bir şekilde kullanılabilir güvenlik açıklıklarına odaklanmak.