Аналіз понад мільйона застосунків, опублікований Veracode (постачальником платформи безпеки ланцюга постачання програмного забезпечення), виявив, що 42% застосунків містили недоліки, які залишалися невиправленими більше ніж рік.
На основі 1 553 022 сканувань динамічного аналізу та 11 429 365 сканувань статичного аналізу у звіті зазначено, що програми з таким рівнем безпеки були знайдені в 71% організацій, які їх обслуговують.
Майже половина організацій (46%) мають постійні серйозні недоліки, які становлять критичний ризик для безпеки. Приблизно 63% програм мають недоліки у first-party коді, тоді як 70% містять недоліки в third-party коді розробників, імпортованому через third-party бібліотеки.
Усунення third-party дефектів сторонніх розробників займає на 50% більше часу. Причому половина відомих дефектів усувається через 11 місяців, порівняно з сімома місяцями для first-party дефектів.
Загалом сканування, проведене Veracode, дало 96 мільйонів необроблених статичних знахідок, 4 мільйони необроблених динамічних результатів і 12,2 мільйона необроблених результатів аналізу складу програмного забезпечення.'
Кріс Енг, головний науковий співробітник Veracode, сказав, що надто багато організацій поступово усувають недоліки в безпеці застосунків і виявляють, що не мають часу їх належним чином усунути. Тим часом кіберзлочинні синдикати з кожним днем стають все більш вправними у використанні цих недоліків.
Загалом безпеці ланцюга постачання програмного забезпечення приділяється набагато більше уваги після виконавчого наказу, виданого адміністрацією президента США Джо Байдена, який вимагає від федеральних відомств виявляти та усувати недоліки безпеки.
Однак темпи, з якими корпоративні ІТ-організації наслідують приклад федерального уряду, дуже відрізняються. Використовується лише відносно невеликий відсоток вразливостей, які існують у програмах, що працюють у виробничих середовищах, тому багатьом корпоративним ІТ-командам ще належить визначити пріоритетність проблем.
Оскільки все більше кіберзлочинців набувають навичок, необхідних для виявлення та використання цих вразливостей, це лише питання часу, перш ніж виникне серйозна криза безпеки застосунків, зазначив Енг.
Теоретично принаймні штучний інтелект (ШІ) незабаром повинен спростити виявлення й усунення вразливостей, але з такою ж імовірністю кіберзлочинці використовуватимуть ті самі можливості для досягнення власних цілей.
Насправді це здебільшого гонка з часом, перш ніж існуючі недоліки програми будуть використані за допомогою інструментів і методів на основі ШІ. Команди розробників застосунків, які найшвидше усувають недоліки, зменшують критичний борг безпеки на 75%, зазначається у звіті Veracode.
Дешевше і простіше виправляти недоліки безпеки до розгортання програм у робочому середовищі. Тому чим більше організацій застосовують найкращі практики DevSecOps на інтерфейсі, тим краще стає стан безпеки, зазначив Енг.
Поки незрозуміло, чи можуть організації вирішити замінити або консолідувати застосунки, щоб зменшити свій борг безпеки. Але враховуючи загальну відсутність досвіду в кібербезпеці серед розробників застосунків, поточний рівень боргу безпеки, ймовірно, продовжить зростати.
Раніше ProIT повідомляв, що F5 оптимізує мережеві програми NGINX: тепер вони доступні за єдиною ліцензією.
Також ми розповідали, яким був 2023 рік для DevOps: огляд стану ринку.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!