[ This article was originally published here ]
BURLINGTON, Mass.–(Modern uygulama güvenlik testi çözümlerinin önde gelen küresel sağlayıcısı )– bugün, geliştiricilerin yazılımlarındaki güvenlik kusurlarının ortaya çıkmasını ve birikmesini en aza indirmesine yardımcı olarak kuruluşlara zaman ve para kazandırabilecek verileri ortaya çıkardı. Veracode, zaman içinde kusur oluşumunun öyle olduğunu buldu ki, uygulamaların yaklaşık yüzde 32’sinin ilk taramada kusurları olduğu tespit edildi ve beş yıl boyunca üretimde olduklarında, yaklaşık yüzde 70’i en az bir güvenlik kusuru içeriyor. Veracode, 2010’dan bu yana, çeşitli müşteri tabanından elde edilen önemli keşifleri özetleyen yıllık raporunu yayınlıyor.
Bir veri ihlalinin ortalama maliyeti 4,35 milyon ABD doları* olan ekipler, kusur birikiminden kaynaklanan riski en aza indirmek için yazılım geliştirme yaşam döngüsünün başlarında düzeltmeye öncelik vermelidir. Veracode Baş Araştırma Sorumlusu Chris Eng, “Tüm çalışmalarımızda olduğu gibi, geliştiricilerin hemen harekete geçirebilecekleri içgörüler sağlamak için yola çıktık. Bu yılki bulgulardan iki önemli husus ortaya çıktı: kusurların ortaya çıkma ihtimalinin nasıl azaltılacağı ve ortaya çıkan kusurların sayısının nasıl azaltılacağı. Teknik erişim kontrollerinin yanı sıra güvenli kodlama uygulamaları, 2023 ve sonrasında siber güvenlik için çok daha önemli.”
Uygulama Büyümesi ile Kusur Tanıtımı Arasında Doğrudan İlişki Yok
İlk taramadan sonra, uygulamalar hızlı bir şekilde kararlı bir ‘balayı dönemine’ giriyor ve yaklaşık yüzde 80’i ilk 1,5 yıl boyunca hiçbir yeni kusur almıyor. Ancak bu noktadan sonra, ortaya çıkan yeni kusurların sayısı beş yılda yeniden yaklaşık yüzde 35’e tırmanmaya başlar.
Çalışma, geliştirici eğitiminin, API yoluyla tarama da dahil olmak üzere birden çok tarama türünün kullanımının ve tarama sıklığının kusur giriş olasılığını azaltmada etkili faktörler olduğunu ortaya çıkardı ve ekiplerin bunları yazılım güvenlik programlarının temel bileşenleri haline getirmeleri gerektiğini öne sürdü. Örneğin, taramalar arasında ayları atlamak, sonunda bir tarama çalıştırıldığında kusurların bulunma olasılığının artmasıyla ilişkilidir. Ayrıca, uygulamalardaki en önemli kusurlar test türüne göre değişir ve tanımlanması zor kusurların gözden kaçmamasını sağlamak için birden çok tarama türü kullanmanın önemini vurgular.
Açık Kaynağın Kırılganlığı
Geçen yıl Yazılım Malzeme Listesi’ne daha fazla odaklanan Veracode’un araştırma ekibi, GitHub’da halka açık olarak barındırılan 30.000 açık kaynak deposunu da inceledi. İlginç bir şekilde, depoların yüzde 10’unun neredeyse altı yıldır bir taahhüdü (kaynak kodunda bir değişiklik) yoktu. Eng, “Ulusal Güvenlik Açığı Veritabanının ötesinde, kusurlar için birden fazla kaynaktan yararlanan bir yazılım kompozisyon analizi (SCA) çözümü kullanmak, bir güvenlik açığı ortaya çıktığında ekiplere önceden uyarı verecek ve güvenlik önlemlerini daha hızlı, umarım istismar başlamadan önce uygulamalarını sağlayacaktır. . Üçüncü taraf bağımlılıklarını azaltmanın yollarını düşünmenin yanı sıra güvenlik açığı tespiti ve yönetimi etrafında kurumsal politikalar belirlemeniz de önerilir.”
Bir Ons Önleme Bir Pound Tedaviye Değerdir: Başarıya Giden Adımlar
Veracode’un araştırması, güvenlik ve geliştirme ekiplerinin atması gereken önemli adımları ortaya koyuyor:
-
Teknik veya güvenlik borcunu olabildiğince erken ve hızlı bir şekilde ele alın. Düzeltme eğrisi daha erken ve daha hızlı düşmelidir çünkü bir uygulama iki yaşına geldiğinde kusurları birikmiş olacaktır. Yıllarca süren istikrarlı büyümeden kaynaklanan karmaşıklığın artması veya uygulama geliştirmeye odaklanmanın azalması nedeniyle, bu eğilim yukarı doğru devam ediyor, bu da bir uygulamanın 10 yıl içinde en az bir kusur içermesi ihtimalinin yüzde 90 olduğu anlamına geliyor. Çeşitli araçları kullanarak sık sık tarama yapmak, zaman içinde ortaya çıkmış veya oluşmuş olabilecek kusurları bulmaya ve düzeltmeye yardımcı olur.
-
Hangi güvenlik açıklarının ortaya çıkma olasılığının yüksek olduğunun anlaşılmasını sağlamak için otomasyon ve geliştirici güvenlik eğitimine öncelik verin ve kusurların ortaya çıkmasını tamamen önleyecek teknikleri kullanın. Genel olarak veriler, herhangi bir ayda bir uygulamada yeni kusurların ortaya çıkma olasılığının yüzde 27 olduğunu gösteriyor. API üzerinden tarama yapan kuruluşlar bu olasılığı yüzde 25’e düşürüyor. Uygulamalı güvenlik açığı tespiti ve iyileştirme deneyimi sunan bir eğitim platformu olan 10 Güvenlik Laboratuvarını tamamlayanlar, herhangi bir ayda kusurların ortaya çıkma olasılığını da yüzde 1,8 oranında azaltır.
-
Değişiklik yönetimi, kaynak tahsisi ve kurumsal kontrolleri içeren bir uygulama yaşam döngüsü yönetimi protokolü oluşturun. Kuruluşunuzda desteklenebilirlik ve kalite kontrol aşamalarının nasıl göründüğünü araştırın. İlk tartışmalar, bazı uygulamalar için planlı eskimeye ve sürekli ürün mühendisliğinde yer alan süreçlerin ve kalite kontrol önlemlerinin gözden geçirilmesine yol açabilir.
Veracode’un raporu birlikte hazırladığı The Cyentia Institute’un Kurucu Ortağı ve Veri Bilimcisi Jay Jacobs, sözlerini şöyle bitirdi: “Veracode’un Yazılım Durumu Raporu ile, kusur birikimini ve davranışını yaklaşık yirmi yıllık verilerden yararlanarak incelemek büyüleyici. Verilerin genişliği ve derinliği, yalnızca en iyi uygulamaları belirlememize değil, aynı zamanda daha sonra riski en aza indirmek için geliştirme sürecinin erken aşamalarında ele alınması gereken daha incelikli faktörlerden bazılarını da belirlememizi sağlıyor.”
Veracode Yazılım Güvenliğinin Durumu 2023 araştırması, ticari yazılım tedarikçileri, yazılım dış kaynak sağlayıcıları ve açık kaynak projelerinde bir milyon uygulamanın dörtte üçünden fazlasını analiz etti. Raporun tamamı indirilebilir.
* IBM Security ve The Ponemon Institute, “Cost of a Data Breach Report 2022”, Temmuz 2022,
Yazılım Güvenliği Raporunun Durumu Hakkında
Veracode Yazılım Güvenliğinin Durumu 2023 raporu, büyük ve küçük şirketlerden, ticari yazılım tedarikçilerinden, yazılım taşeronlarından ve açık kaynak projelerinden alınan verileri analiz etti. Rapor, tüm tarama türlerini kullanan dörtte üçünden (759.445) uygulamadan, bir milyondan fazla (1.262.147) dinamik analiz taramasından, yedi milyondan fazla (7.522.989) statik analiz taramasından ve 18 milyondan fazla ( 18.473.203) yazılım kompozisyon analizi taramaları. Tüm bu taramalar 86 milyon ham statik bulgu, 3,7 milyon ham dinamik bulgu ve 8,5 milyon ham yazılım kompozisyon analizi bulgusu üretti.
Veracode Hakkında
Veracode, güvenli yazılım oluşturmak, güvenlik ihlali riskini azaltmak ve güvenlik ve geliştirme ekiplerinin üretkenliğini artırmak için lider bir AppSec iş ortağıdır. Sonuç olarak, Veracode kullanan şirketler işlerini ve dünyayı ileriye taşıyabilir. Süreç otomasyonu, entegrasyonlar, hız ve yanıt verebilirlik kombinasyonuyla Veracode, şirketlerin çabalarını yalnızca olası güvenlik açıklarını bulmaya değil düzeltmeye odaklamaları için doğru ve güvenilir sonuçlar almalarına yardımcı olur. , üzerinde , ve üzerinde adresinde daha fazla bilgi edinin.
Telif hakkı © 2023 Veracode, Inc. Tüm hakları saklıdır. Veracode, Amerika Birleşik Devletleri’nde Veracode, Inc.’in tescilli bir ticari markasıdır ve diğer bazı yargı bölgelerinde tescilli olabilir. Diğer tüm ürün adları, markalar veya logolar ilgili sahiplerine aittir. Burada adı geçen diğer tüm ticari markalar ilgili sahiplerinin mülkiyetindedir.
reklam