Veracode’a göre Avrupa, Orta Doğu ve Afrika’daki kuruluşlar tarafından geliştirilen uygulamalar, ABD’li muadillerinin oluşturduğu uygulamalardan daha fazla güvenlik açığı içeriyor.
Analiz edilen tüm bölgeler arasında EMEA aynı zamanda en yüksek “yüksek önem derecesine sahip” kusur yüzdesine sahiptir; bu da bunların kötüye kullanılması durumunda işletme için kritik bir soruna neden olacağı anlamına gelir. Uygulamalardaki çok sayıda kusur ve güvenlik açığı, artan risk düzeyleriyle ilişkilidir; bu, özellikle yazılım tedarik zinciri siber saldırılarının 2023’te manşetlere hakim olması nedeniyle dikkat çekicidir.
Dünya genelinde uygulama güvenlik açıkları endişe verici
Araştırmacılar, EMEA kuruluşları tarafından geliştirilen uygulamaların %80’inden biraz fazlasında, son 12 ayda yapılan en son taramalarda en az bir güvenlik açığının tespit edildiğini, ABD kuruluşlarında ise bu oranın %73’ün biraz altında olduğunu buldu. Ayrıca, ‘yüksek önemde’ kusurlar içeren uygulamaların yüzdesi neredeyse %20 ile tüm bölgeler arasında en yüksek seviyedeydi.
Veracode Baş Araştırma Sorumlusu Chris Eng, “Verilerimiz, kuruluşların küresel olarak CWE Top 25’te çok sayıda kusur içeren endişe verici sayıda uygulamayı dağıtmaya devam ettiğini gösteriyor” dedi. “Ancak, özellikle üçüncü taraf veya açık kaynak kod kullanımı ve uygulama yaşam döngüsü boyunca güvenlik açıklarının ortaya çıkma biçimleri açısından ilginç bölgesel farklılıklar tespit ettik” diye devam etti.
Rakamlar tek başına bilgisayar korsanlarının yazılım açıklarından yararlanmasının sonuçlarını yansıtmaz. EMEA genelindeki kuruluşların hizmetlerini sunmak için giderek daha karmaşık bir üçüncü taraf yazılım karışımı kullanması nedeniyle, ciddi bir güvenlik açığından yararlanılması aynı anda binlerce kurbanı etkileyebilir.
Bu yılın başlarında, PaperCut MF ve PaperCut NG yazdırma yazılımı araçlarını etkileyen bir güvenlik açığı, tehdit aktörleri tarafından aktif olarak kötüye kullanıldı. 200 ülkede 70.000’e yakın kuruluş potansiyel kurban haline geldi ve kolluk kuvvetleri raporları, tehdit aktörlerinin eğitim sektöründeki savunmasız kuruluşlara başarılı bir şekilde zarar verdiğini tespit etti.
Üretken yapay zeka güvenlik açığı riskini artırıyor
Araştırma, tercih edilen dil kullanımında önemli bölgesel farklılıklar tespit etti ve Java’nın EMEA’daki geliştiriciler için tercih edilen dil olduğu ortaya çıktı. Java kullanan ekiplerin, kusurları .NET veya JavaScript kullananlara göre daha yavaş bir oranda düzelttikleri ve bu kusurların çoğunun kalıcı olmasına veya önemli ölçüde daha uzun süre keşfedilmeden kalmasına neden olduğu görüldü.
Ayrıca, Java uygulamalarının %95’inden fazlası üçüncü taraf veya açık kaynak kodundan oluştuğundan, Java kullanımı, bölgedeki uygulamalarda ortaya çıkan güvenlik açıklarının yüzdesinin daha yüksek olmasında önemli bir faktördür. Bu, açık kaynak kodundaki kusurları tespit eden yazılım kompozisyon analizinin (SCA) önemini vurgulamaktadır ve araştırma, SCA tarafından EMEA’da diğer bölgelere göre daha yüksek oranda kusur rapor edildiğini ortaya çıkarmıştır.
Üretken yapay zeka, yazılım geliştirmede güçlü bir ilgi görmeye devam ettikçe, dış kaynaklardan kaynaklanan güvenlik açıkları riski de artıyor. 2022’de Black Hat’te sunulan bir çalışma, milyonlarca halka açık GitHub deposu da dahil olmak üzere çok sayıda işlenmemiş veri üzerinde eğitilmiş büyük dil modelleri tarafından yazılan kodun %40’ında güvenlik açıkları gösterdi.
Bu nedenle kuruluşların kusurları bulup düzeltmek için SCA araçlarından yararlanması, geliştiricilerin uygulamaların güvenliğinden ödün vermeden yapay zekadan yararlanmalarına olanak sağlaması hayati önem taşıyor.
EMEA uygulamaları daha yüksek kusur oranları gösteriyor
Araştırma aynı zamanda tüm uygulama yaşam döngüsü boyunca EMEA uygulamalarında diğer bölgelere kıyasla çok daha yüksek oranda yeni kusurların ortaya çıkmaya devam ettiğini gösterdi. EMEA kuruluşları uygulamaları güncellemeye devam ederken kaliteye daha az odaklanıldı.
Beş yıllık bir sürenin ardından, EMEA’daki uygulamaların %50’si yeni kusurlar oluşturmaya devam ederken, dünyanın geri kalanında bu oran %30’un biraz üzerindedir. Genel olarak herhangi bir ayda bir kusurun ortaya çıkması ihtimali temel olarak %27 idi.
Bu nedenle, EMEA kuruluşları uygulama yaşam döngüsünün ikinci kısmına daha fazla dikkat etmekten ve uygulamaları daha düzenli taramaktan fayda sağlayacaktır. Ayrıca, 10 etkileşimli güvenlik laboratuvarının tamamlanmasının herhangi bir ayda kusur oluşma olasılığını %27’den yaklaşık %25’e düşürdüğünü ortaya koyan araştırmayla, geliştiriciler için güvenlik eğitimine de öncelik vermeleri gerekiyor.
Eng, “Bu yılki rapor, tüm yazılım yaşam döngüsü boyunca güvenliğin öneminin yanı sıra üçüncü taraf ve yapay zeka tarafından oluşturulan kodların oluşturduğu riskleri ele alma ihtiyacına da ışık tutuyor” diye ekledi. “Küresel olarak hala endişe verici miktarda güvenlik açığı görüyor olsak da, bu rakamlar neredeyse tüm ölçümlerde EMEA’da daha yüksek. Bu bölgedeki geliştirme ekipleri, düzenli tarama için yazılım güvenliğini otomatikleştirme fırsatını değerlendirmeli ve hem güvenliği artırmak hem de geliştiricileri güçlendirmek için yapay zeka araçlarını dikkatli bir şekilde değerlendirmelidir.”