Veracode’a göre, kamu sektörü kuruluşlarının% 78’i önemli güvenlik borcu ile faaliyet gösteriyor, kusurlar bir yıldan fazla süredir çalıştırılmadı. % 55’i, ciddi risk potansiyeline sahip uzun süredir devam eden güvenlik açıklarını temsil eden ‘kritik’ güvenlik borcuna yüklenir.
Kamu Sektörü Kusur Düzeltme Zaman Çizelgesi Hayatta Kalma Analizine Dayalı (Kaynak: Veracode)
Kamu sektörü güvenlik borcu sektör ortalamasını aşıyor
Araştırma, kamu sektörü kuruluşlarının yazılım güvenlik açıklarının yarısını düzeltmek için ortalama 315 gün gerektirdiğini, toplam ortalamadan önemli ölçüde daha yüksek olduğunu ortaya koymaktadır. Bu 63 günlük gecikme, potansiyel uygulama katmanı saldırıları ve veri ihlalleri için önemli bir fırsat penceresi yaratır.
Veriler ayrıca, iki yıl sonra bile, hükümet başvurularındaki güvenlik kusurlarının üçte birinin çözülmediğini ve% 15’inin beş yıldan fazla devam ettiğini ortaya koymaktadır. Bu uzun süreli iyileştirme, eklenmemiş güvenlik açıklarının yaygın güvenlik borcuna nasıl biriktiğini göstermektedir.
Veracode Baş Güvenlik Evanjelisti Chris Wysopal, “Birçok hükümet kuruluşu, güvenlik açığı iyileştirilmesine ayak uydurmada, potansiyel olarak temel hükümet hizmetlerini açığa çıkaran kritik sistemleri ve verileri bırakmada artan zorluklarla karşı karşıya” dedi.
Açık kaynaklı borç
Özellikle ilgili bir bulgu, üçüncü taraf ve açık kaynak kodunun genel güvenlik borcunun% 10’undan daha azını oluştururken, hükümet sistemlerindeki kritik güvenlik borcunun% 70’ini oluşturduklarını ortaya koymaktadır. Daha da kötüsü, bu kusurların, dahili olarak geliştirilen birinci taraf yazılımlarındaki kusurlara kıyasla düzeltilmesi yaklaşık% 50 daha uzun sürer.
“Bu orantısız risk, yazılım tedarik zincirlerini güvence altına almanın ve açık kaynaklı bağımlılıkları dikkatlice incelemenin önemini vurgular. Görünürlük ve iyileştirme çabalarını iç kodun ötesine uzatmadan, kamu sektörü varlıkları en tehlikeli kusurları kabul etmeden bırakma riski vardır. AI tarafından üretilen kodların kullanımı kuruluşlar arasında artışlar, kapsamlı açık-analizden daha fazla, slotal’ı engellemek için gereklidir”.
Önde gelen devlet kurumları güvenlik borcunu azaltıyor
Eğilimlerle ilgili genel olarak, önde gelen devlet kurumları güvenlik borcunu başarıyla azaltıyor ve güvenlik açıklarını diğerlerinden yaklaşık dört kat daha hızlı çözüyor. Bu yüksek performanslı kuruluşlar, anlamlı bir gelişmenin elde edilebileceğini gösteriyor ve yazılım güvenlik duruşlarını güçlendirmek isteyen akranlar için açık bir yol sunuyor.
Rapor, bir kuruluşun uygulama güvenliği olgunluğunu ve borç yönetimi kabiliyetini ölçen ve önde gelen ve gecikmeli kamu sektörü kuruluşları arasındaki farklı performans boşluklarını ortaya çıkaran beş temel metriği tanımlamaktadır:
- Kusur prevalansı: Önde gelen ajanslar, uygulamaların% 33’ünden daha azında kusurlara sahipken, gecikme ajansları uygulamalarının% 100’ünde kusurlar göstermektedir.
- İyileştirme kapasitesi: Liderler, laggard’lar için sadece% 0,1’e kıyasla aylık kusurların yüzde dokuzundan fazlasını ele alıyor.
- Çözünürlük hızı: En iyi performans gösterenler 3.3 ay içinde kusurlarının yarısını çözerken, alt sanatçılar benzer sonuçlar için 11 aydan fazla sürer.
- Güvenlik borcu yaygınlığı: Lider ajanslardaki başvuruların% 26’sından azı, gecikme kuruluşlarında% 85’ten fazlasına kıyasla güvenlik borcu taşır.
- Açık kaynaklı borç: Liderler arasında bile, başvuruların% 84’ü, gecikme akranları için% 100’e yükselen açık kaynaklı kritik borç içermektedir.
Wysopal, “Üst ve dipsel olarak performans gösteren hükümet kuruluşları arasındaki eşitsizlik çarpıcı ve güvenlik duruşunda önemli bir fark yaratan faktörler hakkında önemli sorular ortaya koyuyor” dedi.