تُظهر تطورات أمان البرامج تقدمًا على الرغم من التحديات ، يكشف تقرير Veracode

لقد تقدم أمان البرامج بشكل ملحوظ على مر السنين ، كما هو موضح في تقرير Veracode الأخير عن حالة أمان البرامج. على الرغم من استمرار التحديات ، لم تكن التطبيقات في المتوسط أكثر أمانًا من أي وقت مضى ، مما يوفر بعض التفاؤل الذي تمس الحاجة إليه وسط التهديدات السيبرانية العالمية.

على الرغم من التقدم المحرز ، يؤكد التقرير على العواقب التي تهز العالم والتي يمكن أن تنجم عن تأثير مضاعف واحد للضعف. وخير مثال على ذلك هجوم SolarWinds العالمي ، الذي ترك شركات مثل Microsoft و Cisco و FireEye و Intel مكشوفة بسبب استغلال الكود الضار في برامج Orion الخاصة بهم. ولم تكن الهيئات الحكومية والمؤسسات الشهيرة استثناءً من هذا الانتهاك.

لمواجهة مثل هذه الثغرات الأمنية ، أصدرت إدارة بايدن أمرًا تنفيذيًا في 12 مايو 2021 ، بإدخال تدابير جديدة تهدف إلى تعزيز الأمن السيبراني الوطني. تهدف شركة Veracode في تقريرها السنوي الثاني عشر إلى مساعدة القادة في معالجة أمن البرامج وتقليل المخاطر والامتثال لهذه اللوائح الجديدة.

يكشف التقرير عن اتجاه صناعي نحو التحول إلى التطبيقات أحادية اللغة أو الخدمات المصغرة. في عام 2018 ، استخدم حوالي 20 في المائة من التطبيقات لغات متعددة ، وانخفضت إلى أقل من 5 في المائة في عام 2021. أدت ممارسات الاختبار المستمر القوية إلى فحص 90 في المائة من التطبيقات عدة مرات في الأسبوع - وهي أكثر تكرارًا بشكل ملحوظ من عمليات المسح القليلة سنويًا في عام 2010.

أصبحت مكتبات الطرف الثالث أقل عرضة للخطر على مر السنين. في عام 2017 ، احتوت 35 بالمائة من المكتبات على عيب معروف ، والذي تم تقليصه إلى 10 بالمائة بحلول عام 2021. تم قطع خطوات كبيرة في مقدار الوقت الذي يستغرقه إصلاح هذه الثغرات الأمنية للجهات الخارجية ، مما يشير إلى وجود مجال للتحسين.

على سبيل المثال ، في عام 2017 ، الوصول إلى منتصف الطريق في حل الخلل المطلوب على مدى ثلاث سنوات ؛ بحلول عام 2021 ، استغرق الأمر أكثر من عام بقليل. ومع ذلك ، حتى مع هذه المكاسب ، ظل 77 في المائة من العيوب دون حل بعد ثلاثة أشهر.

من خلال تطبيق تحليل تكوين البرمجيات (SCA) ، اكتشف الباحثون أن 97 بالمائة من تطبيقات Java تعتمد على مكتبات مفتوحة المصدر ، مما يحافظ على تهديد ثغرات البرامج واسعة النطاق لفترات طويلة.

فيما يتعلق باستخدام رمز الطرف الثالث عبر لغات مختلفة ، يبدو أن Java هي الأكثر اعتمادًا على تعليمات برمجية تابعة لجهة خارجية. على العكس من ذلك ، ارتفع استخدام .NET لرمز جهة خارجية من نسبة مكونة من رقم واحد إلى أكثر من 50 بالمائة في عام 2020 ، بالتزامن مع إصدار .NET 5.

تعرض JavaScript و Python أنماطًا غير متسقة ، حيث يشتمل البرنامج في الغالب على أكواد داخلية أو خارجية ، بينما تظل PHP و C ++ مركزة على التعليمات البرمجية المحلية. يشير التقرير إلى أن المطورين يميلون إلى الاعتماد على مكتبات مجربة وصحيحة بدلاً من إعادة تشكيل قواعد الرموز الخاصة بهم للحصول على بدائل أحدث وأكثر عصرية.

علاوة على ذلك ، تبحث دراسة فيراكود فيما إذا كانت لغات معينة أكثر عرضة للمكتبات المعيبة وتقيم التقدم في تقليل نقاط الضعف بمرور الوقت. سجلت مكتبات Java أعلى متوسط عدد من العيوب بنسبة 12.5٪ ، تليها مكتبات Ruby بنسبة 10٪ تقريبًا ، ثم Python بنسبة 5٪ تقريبًا. تم العثور على أقل انتشار للمكتبات المعرضة للخطر في PHP و JavaScript و .NET ، حيث بلغ متوسط كل منها حوالي 3 بالمائة.

لوحظ تقدم كبير في مكتبات Java و JavaScript و Python. منذ عام 2017 ، خفضت مكتبات Java معدلات الضعف من حوالي 25 بالمائة ، وبايثون من 20 بالمائة ، وجافا سكريبت من 10 بالمائة.

أدى المسح الديناميكي جنبًا إلى جنب مع التحليل الثابت إلى تحسين معدلات المعالجة بنسبة 50 في المائة وتسريع العملية بمعدل 24 يومًا في المتوسط. أدى دمج SCA في المزيج إلى تقصير الإطار الزمني بمقدار ستة أيام أخرى.

يواجه تطوير البرمجيات الأمريكية أعلى مستويات الأمان على الإطلاق ، على الرغم من الزيادة الأخيرة في الهجمات البارزة التي حظيت باهتمام قومي. يقر تقرير Veracode بأنه لا يزال هناك عمل يتعين القيام به ، ولكن أمان البرنامج يسير على الطريق الصحيح. يوفر استخدام الأنظمة الأساسية no-code مثل AppMaster طبقة إضافية من الأمان ، وذلك بفضل طبيعتها المتأصلة منخفضة المخاطر والتحديثات التلقائية ومراقبة الامتثال. مع الجهود المستمرة لمعالجة مخاطر أمن البرامج ، يبدو المستقبل واعدًا.