Hedef uygulamalarda bulunan güvenlik açıklarında önemli bir azalma oldu (2020’de %97’den 2022’de %83’e). Synopsys’e göre kod incelemelerinin, otomatik testlerin ve sürekli entegrasyonun yaygın programlama hatalarını azaltmaya yardımcı olduğuna dair cesaret verici bir işaret.
Raporda, web uygulamaları, mobil uygulamalar, ağ sistemleri ve kaynak kodundan oluşan hedeflerle, Synopsys Güvenlik Test Hizmetleri tarafından yürütülen testlerden elde edilen üç yıllık veriler (2020 – 2022) ayrıntılarıyla anlatılıyor.
Testler, gerçek dünyadaki bir saldırganın yapacağı gibi çalışan uygulamaları araştırmak için tasarlanmıştır; sızma (kalem) testi, dinamik uygulama güvenlik testi (DAST), mobil uygulama güvenlik testi (MAST) ve ağ güvenliği testi dahil olmak üzere birden fazla güvenlik testi tekniğini içerir.
Bu sektör için olumlu bir gelişme olsa da veriler, statik uygulama güvenlik testi (SAST) gibi tek bir güvenlik testi çözümüne güvenmenin artık bir yaklaşım olarak yeterli olmadığını da gösteriyor.
Örneğin, sunucu yanlış yapılandırmaları, üç yıllık testlerde bulunan toplam güvenlik açıklarının ortalama %18’ini temsil ediyordu. Kodlama kusurlarını belirlemek için SAST’ı, çalışan uygulamaları incelemek için DAST’ı, üçüncü taraf bileşenlerin getirdiği güvenlik açıklarını belirlemek için yazılım kompozisyon analizini (SCA) ve dahili testlerin gözden kaçırmış olabileceği sorunları belirlemek için sızma testini birleştiren çok katmanlı bir güvenlik yaklaşımı olmadan, bu tür güvenlik açıkları muhtemelen kontrol edilmeyecektir.
Bilinen yazılım açıklarında azalma
Programlama dillerindeki ve entegre geliştirme ortamlarındaki (IDE’ler) gelişmeler artık geliştiricilerin hataları önemli sorunlara dönüşmeden önce yakalamasına yardımcı olan yerleşik kontroller ve araçlar sağlıyor. Popüler açık kaynak projeleri söz konusu olduğunda, birçok topluluk kod incelemelerini de artırdı ve bu da daha yüksek kalite standartlarına yol açtı.
Ne yazık ki aynı şey daha az popüler veya daha eski açık kaynaklı projeler için söylenemez. Bazı raporlara göre, Java ve JavaScript’te 2022’de sürdürülen açık kaynaklı projelerin yaklaşık %20’si bugün artık sürdürülmüyor ve bu da bu projeleri güvenlik açıklarına ve istismarlara açık hale getiriyor.
Binlerce sisteme birkaç saniye içinde saldırabilen otomatik yararlanma araçlarını kullanan saldırganların sayısı arttıkça, yüksek ve kritik riskli güvenlik açıklarının düzeltilmesi, bu güvenlik açıkları keşfedildiğinde acil hale gelebilir; özellikle de rapor edilen güvenlik açıklarının yarısından fazlası bir hafta içinde istismar edildiğinden ifşa edilmesi.
Dağıtılan uygulamalardaki güvenlik veya güvenlik açığı sorunları, yalnızca bir kuruluşun (veya müşterilerinin) iş operasyonlarını kesintiye uğratma potansiyeli nedeniyle değil, aynı zamanda SDLC’nin tamamı ve buna bağlı olarak yazılım tedarik zinciri üzerindeki etkileri nedeniyle de yokuş aşağı ilerleme eğilimindedir.
“Yıllardır ilk kez yazılımdaki bilinen güvenlik açıklarının sayısında bir azalma görüyoruz; bu da kuruluşların güvenliği ciddiye aldıklarına ve kalıcı bir etki yaratmak için yazılım güvenliğine stratejik ve bütünsel bir yaklaşıma öncelik verdiklerine dair yeni bir umut sağlıyor. ” dedi Synopsys Yazılım Bütünlüğü Grubu Genel Müdürü Jason Schmitt. “Bilgisayar korsanları daha karmaşık hale geldikçe, yazılım risklerinin nerede yaşadığını belirlemek ve işletmeleri istismar edilmekten korumak için çok katmanlı bir güvenlik yaklaşımına her zamankinden daha fazla ihtiyaç duyuluyor.”
Sızan bilgi büyük risk olmaya devam ediyor
Geçtiğimiz üç yılda yapılan testlerin ortalama %92’si bir tür güvenlik açığını ortaya çıkardı. Ancak bu testlerin yalnızca %27’si yüksek önemdeki güvenlik açıklarını, %6,2’si ise kritik önemdeki güvenlik açıklarını içeriyordu.
Ortaya çıkarılan en önemli güvenlik sorunu 2020’den 2022’ye kadar değişmeden kaldı: hassas bilgilerin yetkisiz taraflara ifşa edilmesiyle ortaya çıkan önemli bir güvenlik sorunu olan bilgi sızıntısı. Toplam güvenlik açıklarının ortalama %19’u doğrudan bilgi sızıntısı sorunlarıyla ilgiliydi.
2022’de bulunan tüm yüksek riskli güvenlik açıklarının %19’unun siteler arası komut dosyası çalıştırma saldırılarına karşı duyarlı olduğu tespit edildi. 2022’deki en önemli 10 güvenlik sorunu arasında yapılan testlerin %25’inde, savunmasız üçüncü taraf kitaplıkların risk taşıdığı tespit edildi.
Üçüncü taraf ve açık kaynak bileşenler de dahil olmak üzere, kullanımda olan tüm bileşenlerin sürümlerini bilmiyorsanız, yazılım muhtemelen savunmasızdır.