Bugün Synopsys, hedef uygulamalardaki güvenlik açıklarında dikkate değer bir düşüş gösteren 2023 Yazılım Güvenlik Açığı Anlık Görüntüsü raporunu yayınladı. Synopsys Siber Güvenlik Araştırma Merkezi (CyRC) verileri analiz ederek 2020’deki %97’den 2022’de %83’e bir düşüş olduğunu ortaya çıkardı. Bu olumlu eğilim, kod incelemeleri, otomatik test ve sürekli entegrasyon gibi uygulamaların yaygın programlama hatalarını etkili bir şekilde azalttığını gösteriyor.
Rapor, Synopsys Güvenlik Test Hizmetleri tarafından yürütülen testlerden elde edilen üç yıllık verileri (2020 – 2022) kapsıyor. Bu testler; sızma testi, dinamik uygulama güvenlik testi (DAST), mobil uygulama güvenlik testi (MAST) ve ağ güvenliği testi gibi çeşitli güvenlik testi tekniklerini kullanarak web uygulamalarını, mobil uygulamaları, ağ sistemlerini ve kaynak kodunu hedef aldı.
Sektör bu ilerlemeyi kutlarken veriler, statik uygulama güvenlik testi (SAST) gibi yalnızca tek bir güvenlik testi çözümüne güvenmenin yetersizliğinin altını çiziyor. Özellikle sunucu yanlış yapılandırmaları, üç yıllık test süresi boyunca keşfedilen toplam güvenlik açıklarının ortalama %18’ini oluşturuyordu. Rapor, kodlama kusurlarını belirlemek için SAST’ı, çalışan uygulamaları değerlendirmek için DAST’ı, üçüncü taraf bileşenlerden kaynaklanan güvenlik açıklarını belirlemek için SCA’yı ve dahili test sırasında gözden kaçan sorunları yakalamak için sızma testini birleştiren çok katmanlı bir güvenlik yaklaşımının önemini vurguluyor.
Synopsys Yazılım Bütünlüğü Grubu Genel Müdürü Jason Schmitt, bilinen güvenlik açıklarındaki azalmanın önemine değinerek şunları söyledi: “Yıllardır ilk kez yazılımlarda bilinen güvenlik açıklarının sayısında bir azalma görüyoruz. kuruluşların güvenliği ciddiye aldıklarına ve kalıcı bir etki yaratmak için yazılım güvenliğine stratejik ve bütünsel bir yaklaşıma öncelik verdiklerine dair yeni bir umut sağlıyor.”
Rapordaki önemli bulgular şunları içeriyor:
- Yüksek önemdeki güvenlik açıkları daha az yaygındır; testlerin yalnızca %27’si yüksek önemdeki güvenlik açıklarını ortaya çıkarır ve %6,2’si kritik önemdeki güvenlik açıklarını içerir.
- Bilgi sızıntısı, toplam güvenlik açıklarının ortalama %19’unu oluşturan en önemli güvenlik riski olmaya devam ediyor.
- Siteler arası komut dosyası çalıştırma güvenlik açıkları artıyor ve 2022’deki yüksek riskli güvenlik açıklarının %19’unu oluşturuyor.
- Üçüncü taraf yazılımlar daha fazla risk oluşturuyor; testlerin %25’i, 2022’deki en önemli 10 güvenlik sorunu arasında üçüncü taraf kitaplıklarındaki güvenlik açıklarını ortaya çıkarıyor.
Bulguları daha derinlemesine incelemek için ilgili taraflar, 2023 Yazılım Güvenlik Açığı Anlık Görüntüsü: En Yaygın 10 Web ve Yazılım Uygulaması Güvenlik Açığının Üç Yıllık Analizi’ni indirebilir veya ayrıntılı blog yazısını okuyabilir.