Yönetişim ve Risk Yönetimi
Daha az uygulama OWASP Top 10 Kusur taşıyor
Mathew J. Schwartz (Euroinfosec) •
14 Mayıs 2025
Siber güvenlik Mavens yıllarca güvenli geliştirmeye öncelik vermek için yazılım yöneticilerini yalvardı. Her kod hatası geliştirme sırasında smooshed veya kalite güvencesi sırasında süpürüldü, ancak daha fazla sömürülebilir güvenlik açıklarını önler.
Ayrıca bakınız: Bulut Algılama ve Yanıt Alıcının Kılavuzu
Güvenli geliştirme savunucuları nihayet, açık bir web uygulaması güvenlik projesi ilk 10 güvenlik kusuruna sahip olmayan hızlandırıcı uygulamalara dayanarak ivme yaşayabilir. Bu Chris Wysopal ve Jason Healey tarafından sunulan araştırmaya göre.
2010 yılında, tüm yazılım uygulamalarının% 77’si, 28 Nisan’da San Francisco’daki bir RSAC Konferansı oturumu sırasında Wysopal, 2020 yılına kadar% 68 oranında devam eden bir rakam olan bir OWASP Top 10 Kususu içeriyordu.
Wysopal, “gülünç derecede yavaş tempoda, yaşlılık evine gelene kadar% 50’ye ulaşamayacağız” dedi. “Bizi 20 yıl daha sürecek, biraz iç karartıcı, bu metriklere bakıyorsunuz ve pek çok geçmiyor ve iyileştirme oranı çok yavaş, sadece bunu yapıyoruz.”
Ancak son beş yılda bir şey tıklamış olmalı, OWASP geçiş oranları% 32’den% 52’ye yükseldi. Bu oranda, “Beş yıl içinde geçen uygulamaların% 72’sine ulaşmamız mümkündür ve sonra gerçekten konuşuyoruz – vay gibi, uygulamaların büyük çoğunluğu gerçekten güvenlidir” dedi Wysopal.
Columbia Üniversitesi Uluslararası ve Halkla İlişkiler Okulu’nda kıdemli bir araştırma uzmanı olan Healey, kazanımların çoklu iyileştirmelere bağlı olduğunu söyleyerek iyimserliği dile getirdi. Bunlar arasında, Cisos’un daha iyi bir zihniyeti, “Nasılsın?” “Nasıl yapıyoruz?” Buna ek olarak, kod geliştirme uygulamalarının büyük bir etkisi olmuştur, çünkü bir güvenlik açığı, aka CVE veya başka bir şey değil, daha ziyade “büyük güvenlik açıkları” kategorileri.
ISMG’ye verdiği demeçte, kuruluşların farklı kusur kategorilerindeki tüm bu “riski satın almak”, örgütlerin yammak için daha az güvenlik açıkına sahip olduğu anlamına gelir, çünkü rakipleri oyunlarını yükseltmeye zorlarken, tampon taşma güvenlik açıkları gibi daha az atılması kolay kusurlar var.
Ölçülen gelişmeler, bazılarının siber suçlulara ve ulus devlet saldırganlarına karşı savaşın kaybolduğunu düşündüğü halde gelir. Healey, “Kıçlarımızı her zaman tekmeliyoruz çünkü tüm bu olayları yaşıyoruz ve ilerleme kaydettiğimiz gibi hissetmiyor.” Dedi.
Doğru soruları sormaya ve farklı süreler boyunca verilere bakmaya dayanan araştırmalar aksini gösterir. Healey, “Buna bakmaya başladığınızda, bu alanları gerçekten iyimserlik için bulabilirsiniz.” Dedi. “Hala sıkı çalışma ve disiplin gerektirecek – ve doğru türde sıkı çalışma, ama söyleyebilirim: iyimser kalın.”
Wysopal, diğer önlemlerin, ABD Siber Güvenliği ve Altyapı Güvenlik Ajansı’nın bilinen sömürülen güvenlik açıkları kataloğu da dahil olmak üzere güvenli kod durumunda devam eden bir genel iyileşmeyi de yansıttığını söyledi. 2021’in yanı sıra, bir sivri uç olduğunda – neden açık değil – 2020’den itibaren her iki yılda KEV’de, “Yılda yaklaşık 130 güvenlik açığının sömürüldüğünü gördük,” “CVVE sayısı artmaya devam ediyor.”
Böcek ödül programları, güvenlik açığı avcıları daha fazla “düşük ve orta sak meyvesi” buldukça, yeni CVE’lerin sayısının neden artmaya devam ettiğini açıklamaya yardımcı olabilir. Ayrıca, bir kırılganlığın kullanılacağı riskini ölçen genel istismar tahmin puanlama sistemi ortalamasının, son beş yılda yaklaşık% 30 oranında azalmaya devam ettiğini söyledi.
Güvenlik borcunu ödemek
Başka bir büyük getiri, güvenlik borcunu ödemekten geliyor. Wysopal, en olgun güvenli geliştirme uygulamalarına sahip kuruluşların güvenlik açıklarının% 10’unu yıllık bazda düzelttiğini ve bir yıldan fazla bir güvenlik borcuna sahip olmaktan kaçındığını söyledi. Buna karşılık, “gecikme şirketleri ayda açık böceklerin% 1’inden daha azını düzeltir” dedi.
Bu strateji her zaman mümkün değildir. Özellikle, “Kritik borcun% 70’inin üçüncü taraf kodunda olduğunu ve üçüncü taraf veya bazen dördüncü veya beşinci tarafla yazılım inşa eden ekipler olduğunu bulduk. “Diğer yazılım paketleri tarafından yaygın olarak kullanılan bazı yazılım paketlerinin düzeltilmesi daha zordur, bu nedenle geçişli bağımlılıklar dediğimiz şeylere sahipsiniz.”
Bu meydan okuma için kolay bir çözüm yok. “Açık kaynak kullandığınızda, gerçekten ödeme yapılmayan başka bir ekibin sabitleme hızına bağımlısınız ve sadece bunu yapıyorlar çünkü bu projeyi yapmayı seviyorlar” dedi. “Bu, takımların gerçekten, gerçekten endişelenmesi gereken bir şey.”
AI tarafından oluşturulan kod
Başka bir kırışıklık, yapay zeka araçları tarafından daha fazla kodun oluşturulmasıdır – Google ve Microsoft her biri, kodlarının yaklaşık üçte birinin AI tarafından oluşturulduğunu söylüyor. Geliştiriciler daha üretken olduğunu, AI araçlarını kullandıklarında ortalama% 50 daha fazla kod gönderildiğini bildiriyor.
Wysopal, bu tür AI araçlarının klasik geliştirme araçlarıyla aynı oranda güvenlik açıklarına sahip kod ürettiğini söyledi. Daha fazla kod gönderildi, daha fazla sayıda güvenlik açığı riskini taşır.
Bunu ele almak için, “Benim için tek çözüm daha fazla yapay zeka kullanmaktır” dedi. “AI bir soruna neden oluyor, bunu düzeltmek için AI kullanalım” (bkz:: AI’nın güvenli kod geliştirme üzerindeki etkisini açma).
Güvenli kod örnekleri konusunda eğitilmiş dil modelleri, sadece güvenli kod yazmakla kalmayıp, aynı zamanda düzeltme ve özellikle kötü kodun neye benzediğini bilme görevinde son derece iyi olma potansiyeline sahiptir.
İyimser olmak için nedenler
Bu fona karşı Wysopal ve Healey, çalışmalarına dayanarak, uygulamaların% 48’inin OWASP Top 10 Testini geçmediğini kabul ettiler. Ancak trend çizgisi, nihayet övgüye değer bir hızda ve büyük çıkışlar sağlayarak doğru yöne gidiyor.
OWASP Top 10 Testi’ni geçen bir uygulama kurşun geçirmez değildir, ancak – nispeten konuşursak – sömürülmesi daha zordur.
“Owasp Top 10’u boşaltarak,” dedi Wysopal, “bu saldırganlar için hayatı zorlaştırıyor.”
Healey, “Her zaman güvenlik açıkları olacak. Ama hedef onları sıfıra indirmeye çalışıyor.” Dedi. Yazılım için, “Basit, Düzeltilebilir Şeyler Önce” ile mücadele etmek, yazılım geliştirme yaşam döngüsü uygulamalarında sadece “biraz disiplin” alır.
Healey, “Düşmanlarınızı kahraman olmaya zorladığınızda, o zaman biz değil, kahramanlık yapmak zorunda olanlar ve bu bir kazanç.” Dedi. “Bu yüzden bunu seviyorum: Kolay güvenlik açıklarını ortadan kaldırabilirsek, onları harcamaya zorluyoruz, daha az ‘nokta ve saldırı’ olacak şekilde zorluyoruz.”