“Geliştiricilere, koddaki bir kusuru tespit etmek ve kullanmak için gerekenlere ve bunun uygulama üzerindeki potansiyel etkisine ilişkin gerçek, uygulamalı deneyim sunmak, yazılım güvenliği hakkındaki sezgilerini oluşturmak için bağlam ve anlayış sağlıyor. Araştırmamız, geliştiricileri uygulamalı Security Labs eğitim programımızda yalnızca bir dersi tamamlayan kuruluşların, böyle bir eğitim almayanlara göre kusurların yüzde 50’sini iki ay daha hızlı düzelttiklerini ortaya çıkardı,” dedi Veracode Baş Araştırma Sorumlusu Chris Eng.
Teknoloji endüstrisinin yüzde 79 ile güvenlik açığı içeren ikinci en yüksek uygulama oranına sahip olduğu ortaya çıktı ve bu da onu yüzde 82 ile kamu sektöründen biraz daha iyi yapıyor. Teknoloji sektörü, düzeltilen kusurların oranı söz konusu olduğunda paketin ortasında yer alıyor.
Teknoloji firmaları, yazılım güvenlik kusurlarını düzeltmek için nispeten hızlıdır
Cesaret verici bir şekilde, teknoloji firmaları uygulamalarında kusurlar keşfettiklerinde, düzeltmenin yarısına nispeten daha hızlı ulaşırlar. Aslında sektör, statik analiz güvenlik testi (SAST) ve yazılım kompozisyon analizi (SCA) tarafından keşfedilen kusurlar için düzeltme süreleriyle övünür.
Sektörün kusurların yüzde 50’sini düzeltmesi hala 363 gün sürüyor, bu da iyileştirme için hala yeterli alan olduğunu gösteriyor.
Eng ekledi, “Log4j, geçen Aralık ayında birçok kuruluş için bir uyandırma çağrısı yaptı. Bunu, her ikisi de tedarik zinciri odaklı olan Yönetim ve Bütçe Ofisi (OMB) ve Avrupa Siber Direnç Yasası’nın rehberliği şeklinde hükümet eylemi izledi.”
Sözlerine şöyle devam etti: “Önümüzdeki yılda performansı artırmak için teknoloji işletmeleri, yalnızca geliştiricilerin koda dahil edilen kusur oranını azaltmasına yardımcı olan stratejiler düşünmemeli, aynı zamanda Sürekli Entegrasyon/Sürekli Teslimatta (CI/) güvenlik testini otomatikleştirmeye daha fazla önem vermelidir. CD) boru hattı verimliliği artırmak için.”
Sunucu yapılandırması, güvensiz bağımlılıklar ve bilgi sızıntısı, teknoloji uygulamalarının diğer endüstrilere benzer bir model izleyen dinamik analizi tarafından keşfedilen en yaygın kusur türleridir.
Tersine, sektör, kriptografik sorunlar ve bilgi sızıntısı açısından sektör ortalamasından en yüksek eşitsizliği sergiliyor; bu, belki de teknoloji endüstrisindeki geliştiricilerin veri koruma zorlukları konusunda daha anlayışlı olduğunu gösteriyor.