Veracode, geliştiricilerin yazılımlarındaki güvenlik kusurlarının ortaya çıkmasını ve birikmesini en aza indirmesine yardımcı olarak kuruluşların zamandan ve paradan tasarruf etmesini sağlayabilecek verileri ortaya çıkardı.
Raporları, zaman içinde kusur birikiminin öyle olduğunu ortaya çıkardı ki, uygulamaların %32’sinin ilk taramada kusurları olduğu tespit edildi ve beş yıl boyunca üretime geçtiklerinde, %70’inde en az bir güvenlik kusuru bulunuyor.
Bir veri ihlalinin ortalama maliyeti 4,35 milyon ABD doları olan ekipler, kusur birikiminin neden olduğu riski en aza indirmek için yazılım geliştirme yaşam döngüsünün başlarında düzeltmeye öncelik vermelidir.
“Tüm çalışmalarımızda olduğu gibi, geliştiricilerin hemen harekete geçirebilecekleri içgörüler sağlamak için yola çıktık. Bu yılki bulgulardan iki önemli husus ortaya çıktı: kusurların ortaya çıkma ihtimalinin nasıl azaltılacağı ve ortaya çıkan kusurların sayısının nasıl azaltılacağı. Veracode CRO’su Chris Eng, “Teknik erişim kontrollerinin yanı sıra, güvenli kodlama uygulamaları 2023 ve sonrasında siber güvenlik için çok daha önemli” dedi.
Uygulama büyümesi ile kusur tanıtımı arasında doğrudan bir ilişki yok
İlk taramadan sonra, uygulamalar hızlı bir şekilde kararlı bir ‘balayı dönemine’ girer ve %80’i ilk 1,5 yıl boyunca hiçbir yeni kusur almaz. Ancak bu noktadan sonra, ortaya çıkan yeni kusurların sayısı beş yılda tekrar yaklaşık %35’e tırmanmaya başlar.
Çalışma, geliştirici eğitiminin, API yoluyla tarama da dahil olmak üzere birden çok tarama türünün kullanımının ve tarama sıklığının kusur giriş olasılığını azaltmada etkili faktörler olduğunu ortaya çıkardı ve ekiplerin bunları yazılım güvenlik programlarının temel bileşenleri haline getirmeleri gerektiğini öne sürdü.
Örneğin, taramalar arasında ayları atlamak, sonunda bir tarama çalıştırıldığında kusurların bulunma olasılığının artmasıyla ilişkilidir. Ayrıca, uygulamalardaki en önemli kusurlar test türüne göre değişir ve tanımlanması zor kusurların gözden kaçmamasını sağlamak için birden çok tarama türü kullanmanın önemini vurgular.
Açık kaynağın kırılganlığı
Geçen yıl Yazılım Malzeme Listesi’ne daha fazla odaklanan Veracode’un araştırma ekibi, GitHub’da halka açık olarak barındırılan 30.000 açık kaynak deposunu da inceledi. İlginç bir şekilde, depoların %10’unda neredeyse altı yıldır bir taahhüt (kaynak kodunda bir değişiklik) yoktu.
“Ulusal Güvenlik Açığı Veritabanının ötesinde, kusurlar için birden fazla kaynaktan yararlanan bir yazılım kompozisyon analizi (SCA) çözümü kullanmak, bir güvenlik açığı ortaya çıktığında ekiplere önceden uyarı verecek ve güvenlik önlemlerini daha hızlı, umarım istismar başlamadan önce uygulamalarını sağlayacaktır. Güvenlik açığı tespiti ve yönetimi etrafında kurumsal politikalar belirlemek ve üçüncü taraf bağımlılıklarını azaltmanın yollarını düşünmek de tavsiye edilir,” dedi Eng.
başarıya giden adımlar
Veracode’un araştırması, güvenlik ve geliştirme ekiplerinin atması gereken önemli adımları ortaya koyuyor:
- Teknik veya güvenlik borcunu mümkün olduğunca erken ve hızlı bir şekilde ele alın. Düzeltme eğrisi daha erken ve daha hızlı düşmelidir çünkü bir uygulama iki yaşına geldiğinde kusurları birikmiş olacaktır. Yıllarca süren istikrarlı büyümeden kaynaklanan karmaşıklığın artması veya uygulama geliştirmeye odaklanmanın azalması nedeniyle, bu eğilim yukarı doğru devam ediyor, bu da bir uygulamanın 10 yıl içinde en az bir kusur içermesi ihtimalinin %90 olduğu anlamına geliyor. Çeşitli araçları kullanarak sık sık tarama yapmak, zaman içinde ortaya çıkmış veya oluşmuş olabilecek kusurları bulmaya ve düzeltmeye yardımcı olur.
- Otomasyon ve geliştirici güvenlik eğitimine öncelik verin hangi güvenlik açıklarının ortaya çıkma olasılığının yüksek olduğunun anlaşılmasının yanı sıra kusurların ortaya çıkmasını tamamen önlemeye yönelik teknikler sağlamak. Genel olarak veriler, herhangi bir ayda bir uygulamada yeni kusurların ortaya çıkma olasılığının %27 olduğunu gösteriyor. API üzerinden tarama yapan kuruluşlar bu olasılığı %25’e düşürür. Uygulamalı güvenlik açığı tespiti ve düzeltme deneyimi sunan bir eğitim platformu olan 10 Güvenlik Laboratuvarını tamamlayanlar, herhangi bir ayda kusurların ortaya çıkma olasılığını da %1,8 oranında azaltır.
- Bir uygulama yaşam döngüsü yönetimi protokolü oluşturun değişim yönetimini, kaynak tahsisini ve kurumsal kontrolleri içeren. Kuruluşunuzda desteklenebilirlik ve kalite kontrol aşamalarının nasıl göründüğünü araştırın. İlk tartışmalar, bazı uygulamalar için planlı eskimeye ve sürekli ürün mühendisliğinde yer alan süreçlerin ve kalite kontrol önlemlerinin gözden geçirilmesine yol açabilir.
“Veracode’un Yazılım Durumu Raporu ile, yaklaşık yirmi yıllık veriden yararlanarak kusur birikimini ve davranışını incelemek büyüleyici. Veri Bilimcisi Jay Jacobs, “Verilerin genişliği ve derinliği, yalnızca en iyi uygulamaları belirlememize değil, aynı zamanda geliştirme sürecinin başlarında ele alınması gereken daha incelikli faktörlerden bazılarını da belirlememize olanak tanıyor” dedi. Cyentia Enstitüsü.