Perakende Uygulamalarının Yüzde 73’ü Güvenlik Kusurları İçeriyor, Ancak Yalnızca Dörtte Biri Düzeltildi


[ This article was originally published here ]

BURLINGTON, Mass.–()–, modern uygulama güvenlik testi çözümlerinin önde gelen küresel sağlayıcısı bugün, perakende ve konaklama sektöründeki uygulamaların neredeyse dörtte üçünün güvenlik açıkları içerdiğini ancak bunların yalnızca yüzde 25’inin düzeltildiğini ortaya koydu. Ayrıca, bu kusurların yüzde 17’si ‘yüksek önem dereceli’ olarak kategorize ediliyor, yani kötüye kullanıldıklarında iş için ciddi bir risk oluşturuyorlar. Amerikalıların yüzde 76’sı 25 Kasım*’daki Kara Cuma satışlarından alışveriş yapmayı planlarken ve yüzde 56’sı tamamen çevrimiçi** satın almayı planlarken, perakendeciler e-ticaret sistemlerinin, dijital ödeme platformlarının ve tedarik zincirlerinin güvenliğini güçlendirmek için ekstra özen göstermelidir.

Veriler, perakende, üretim, sağlık, finansal hizmetler, teknoloji ve devlet sektörlerindeki yarım milyon uygulamada 20 milyon taramayı analiz eden Veracode’un yıllık dergisinde yayınlandı.

Veracode Baş Araştırma Sorumlusu Chris Eng, “Müşteri sadakatini ve güvenini sürdürmek perakendeciler için bir numaralı önceliktir ve bu, Kara Cuma döneminde artacaktır. Perakende sektöründeki bir veri ihlalinin ortalama maliyetinin 3,28 milyon ABD doları*** olduğu düşünülürse, müşterilerin göz atmak ve satın almak için kullandıkları uygulamaların güvenliğini sağlamak için sağlam araçlar ve uygulamalar uygulamak zorunludur.”

Düzeltilen nispeten düşük kusur sayısına rağmen, perakende sektörü genel iyileştirme oranı açısından ikinci sırada yer alıyor ve bu da tüm sektörlerdeki kuruluşların yazılım güvenliği iyileştirmelerine olan ihtiyacı vurguluyor. Eng, “Diğer sektörlerle karşılaştırıldığında, perakendeciler kusurları keşfedildiklerinde düzeltme konusunda daha başarılılar. Bu cesaret verici olsa da, güvenlik açıklarının daha verimli bir şekilde ele alınabilmesi için kusur tanımlama ve düzeltmeyi yazılım geliştirme hattına entegre etmek için genel olarak daha fazla şey yapılması gerektiği açık.”

Sunucu yapılandırması, güvenli olmayan bağımlılıklar ve kimlik doğrulama sorunları, çoğu sektörde en yaygın uygulama kusurları türleridir. Perakende ve konaklama sektörü de benzer bir model izliyor; ancak sektör, neredeyse her kusur kategorisinde daha yüksek yüzdelere sahiptir – belki de müşteriye dönük ve arka ofis uygulamalarının işlevsel karmaşıklığının daha fazla olması nedeniyle.

Perakendede Kusur Düzeltme Süreleri Dalgalanıyor

Veracode, düzeltme süreleri için endüstri karşılaştırmaları oluşturmak üzere üç farklı tarama türünü analiz etti: dinamik analiz güvenlik testi (DAST), statik analiz güvenlik testi (SAST) ve yazılım kompozisyon analizi (SCA). Perakendecilerin, ikinci sıradaki finansal hizmetlerden 46 gün daha hızlı olan yarı yola ulaşmak için 70 günde, DAST tarafından keşfedilen kusurları en hızlı çözen kişiler olduğu görüldü. SAST ve SCA’ya gelince, perakende sektörü paketin ortasına düştü ve sırasıyla 346 gün ve 470 günde yarı yolda sabit noktaya ulaştı.

Tüm sektörlerde, SCA aracılığıyla keşfedilen üçüncü taraf kitaplıklardaki kusurlar, SAST ve DAST aracılığıyla bulunanlardan daha uzun süre devam ediyor ve savunmasız kitaplıkların yüzde 30’u iki yıl sonra hala çözülmedi. Perakende sektörü için bu istatistik yüzde 35’e çıkıyor ve sektörler arası ortalamanın altı aydan fazla gerisinde kalıyor. Yine de perakendeciler, aradaki farkın asla kapatılamayacak kadar geniş olmadığından emin olmalıdır. Gerçekten de, Veracode’un 2021 Yazılım Güvenliği Durumu raporu, açık kaynak kusurlarının yüzde 92’sinin basit bir güncellemeyle kolayca düzeltilebileceğini ortaya koydu; bu, yazılım tedarik zincirlerini güvenceye almak isteyen perakendeciler için iyi bir haber.

Kara Cuma’ya giden yolda ve kötü şöhretli olayın ilk kez bildirilmesinden bu yana yaklaşık bir yıl geçen perakendeciler, uygulamalarının hızını, verimliliğini ve güvenliğini korumak için yüksek alarm durumunda olacaklar. İşletmeler, SCA ve geliştirme araçlarının bir kombinasyonunu kullanarak üçüncü taraf yazılımlardaki güvenlik açıklarını ortaya çıkarmak için ekstra özen göstermelidir. Özel perakende mağazası Floor & Decor’da Uygulama Güvenliği Mimarı olan Darius Radford, Veracode ile bu yaklaşımı kullanarak şirketin yazılımındaki savunmasız kitaplıkların oluşturduğu riskin kapsamlı bir görünümünü elde edebildi: “Log4j’yi çalıştıran tüm yerleri hızlı bir şekilde anlayabildik. ve durumu düzeltin.” Floor and Decor’un Bilgi Güvenliği Başkanı Trey Tunnel, “Müşterilerimiz bizim önceliğimizdir. Veracode ile yazılımımızın güvenli olduğundan eminiz ve daha da önemlisi müşterilerimiz yazılımımızın güvenli olduğundan emin.”

Veracode State of Software Security v12 perakende ve konaklama anlık görüntüsü indirilebilir ve raporun tamamı mevcuttur.

* Future Publishing, “Explouring the effect of high enflasyon”, Haziran 2022,
** Dot Digital, “Kara Cuma İstatistikleri: Bilmeniz Gereken Her Şey (2022’de güncellendi), Jenna Paton, 20 Eylül 2022,
*** IBM Security and The Ponemon Institute, “Cost of a Data Breach Report 2022”, Temmuz 2022,

Yazılım Güvenliği Raporunun Durumu Hakkında

Veracode hizmetlerinden ve müşterilerinden alınan tüm geçmiş verileri analiz etti. Bu, tüm tarama türlerini kullanan toplam yarım milyondan fazla uygulama (592.720), bir milyondan fazla dinamik analiz taraması (1.034.855), beş milyondan fazla statik analiz taraması (5.137.882) ve 18 milyondan fazla yazılım kompozisyon analizi anlamına gelir. taramalar (18.473.203). Tüm bu taramalar 42 milyon ham statik bulgu, 3,5 milyon ham dinamik bulgu ve altı milyon ham SCA bulgusu üretti.

Veriler büyük ve küçük şirketleri, ticari yazılım tedarikçilerini, yazılım taşeronlarını ve açık kaynak projelerini temsil eder. Çoğu analizde, güvenlik açıkları düzeltilip yeni sürümler yüklendiğinden birden çok kez gönderilmiş olsa bile bir uygulama yalnızca bir kez sayıldı.

Veracode Hakkında

Veracode, güvenli yazılım oluşturmak, güvenlik ihlali riskini azaltmak ve güvenlik ve geliştirme ekiplerinin üretkenliğini artırmak için lider bir AppSec iş ortağıdır. Sonuç olarak, Veracode kullanan şirketler işlerini ve dünyayı ileriye taşıyabilir. Süreç otomasyonu, entegrasyonlar, hız ve yanıt verebilirlik kombinasyonuyla Veracode, şirketlerin çabalarını yalnızca olası güvenlik açıklarını bulmaya değil düzeltmeye odaklamaları için doğru ve güvenilir sonuçlar almalarına yardımcı olur. , ve üzerinde adresinde daha fazla bilgi edinin.

Telif hakkı © 2022 Veracode, Inc. Tüm hakları saklıdır. Veracode, Amerika Birleşik Devletleri’nde Veracode, Inc.’in tescilli bir ticari markasıdır ve diğer bazı yargı bölgelerinde tescilli olabilir. Diğer tüm ürün adları, markalar veya logolar ilgili sahiplerine aittir. Burada adı geçen diğer tüm ticari markalar ilgili sahiplerinin mülkiyetindedir.

reklam





Source link