১০ ডিসে, ২০২২·1 মিনিট পড়তে

সফ্টওয়্যার নিরাপত্তা অগ্রগতি চ্যালেঞ্জ সত্ত্বেও অগ্রগতি দেখায়, ভেরাকোড রিপোর্ট প্রকাশ করে

ভেরাকোডের স্টেট অফ সফ্টওয়্যার সিকিউরিটি রিপোর্ট হাইলাইট করে যে চ্যালেঞ্জ সত্ত্বেও অ্যাপ্লিকেশনগুলি আগের চেয়ে বেশি সুরক্ষিত৷

সফ্টওয়্যার নিরাপত্তা বছরের পর বছর ধরে উল্লেখযোগ্যভাবে উন্নত হয়েছে, যেমনটি ভেরাকোডের সাম্প্রতিক স্টেট অফ সফ্টওয়্যার নিরাপত্তা প্রতিবেদনে হাইলাইট করা হয়েছে। যদিও চ্যালেঞ্জগুলি রয়ে গেছে, গড়পড়তা অ্যাপ্লিকেশনগুলি কখনই বেশি নিরাপদ ছিল না, যা বিশ্বব্যাপী সাইবার হুমকির মধ্যে কিছু অত্যন্ত প্রয়োজনীয় আশাবাদ প্রদান করে।

অগ্রগতি সত্ত্বেও, প্রতিবেদনে বিশ্ব-কাঁপানো পরিণতিগুলির উপর জোর দেওয়া হয়েছে যা একক দুর্বলতার লহরী প্রভাবের ফলে হতে পারে। একটি প্রধান উদাহরণ হল গ্লোবাল সোলারউইন্ডস আক্রমণ, যা মাইক্রোসফ্ট, সিসকো, ফায়ারআই এবং ইন্টেলের মতো কোম্পানিগুলিকে তাদের ওরিয়ন সফ্টওয়্যারে দূষিত কোড শোষণের কারণে উন্মুক্ত করে দিয়েছে। সরকারী সংস্থা এবং বিখ্যাত প্রতিষ্ঠানগুলি এই লঙ্ঘনের ব্যতিক্রম ছিল না।

এই জাতীয় দুর্বলতাগুলি মোকাবেলা করার জন্য, বিডেন প্রশাসন 12 মে, 2021-এ একটি নির্বাহী আদেশ জারি করেছিল, যা জাতীয় সাইবার নিরাপত্তা জোরদার করার লক্ষ্যে নতুন ব্যবস্থা প্রবর্তন করেছিল। এর 12 তম বার্ষিক প্রতিবেদনে, ভেরাকোড সফ্টওয়্যার নিরাপত্তা, ঝুঁকি হ্রাস এবং এই নতুন প্রবিধানগুলি মেনে চলতে নেতাদের সহায়তা করার লক্ষ্য রাখে।

প্রতিবেদনটি একক-ভাষা অ্যাপ বা মাইক্রোসার্ভিসে স্থানান্তরের দিকে একটি শিল্প প্রবণতা প্রকাশ করে। 2018 সালে, প্রায় 20 শতাংশ অ্যাপ একাধিক ভাষা ব্যবহার করেছে, যা 2021 সালে 5 শতাংশেরও কমে নেমে এসেছে। শক্তিশালী ক্রমাগত পরীক্ষামূলক অনুশীলনের ফলে 90 শতাংশ অ্যাপ প্রতি সপ্তাহে একাধিকবার স্ক্যান করা হয়েছে - যা 2010 সালে প্রতি বছর কয়েকটি স্ক্যানের তুলনায় উল্লেখযোগ্যভাবে বেশি।

তৃতীয় পক্ষের গ্রন্থাগারগুলি বছরের পর বছর ধরে কম ঝুঁকিপূর্ণ হয়ে উঠেছে। 2017 সালে, 35 শতাংশ লাইব্রেরিতে একটি পরিচিত ত্রুটি ছিল, যা 2021 সালের মধ্যে 10 শতাংশে নামিয়ে আনা হয়েছে৷ এই তৃতীয় পক্ষের দুর্বলতাগুলি ঠিক করতে যে পরিমাণ সময় লাগে তাতে বড় পদক্ষেপ নেওয়া হয়েছে, যা উন্নতির জন্য জায়গা নির্দেশ করে৷

উদাহরণস্বরূপ, 2017 সালে, তিন বছরের মধ্যে প্রয়োজনীয় ত্রুটি সমাধানের অর্ধেক পয়েন্টে পৌঁছানো; 2021 এর মধ্যে, এটি মাত্র এক বছরের বেশি সময় নিয়েছে। তবুও, এই লাভের সাথেও, একটি উদ্বেগজনক 77 শতাংশ ত্রুটি তিন মাস পরেও অমীমাংসিত রয়ে গেছে।

সফ্টওয়্যার কম্পোজিশন অ্যানালাইসিস (SCA) প্রয়োগ করে, গবেষকরা আবিষ্কার করেছেন যে জাভা অ্যাপগুলির 97 শতাংশ ওপেন-সোর্স লাইব্রেরির উপর নির্ভর করে, দীর্ঘ সময়ের জন্য বড় আকারের সফ্টওয়্যার দুর্বলতার হুমকি বজায় রাখে।

বিভিন্ন ভাষা জুড়ে তৃতীয় পক্ষের কোড ব্যবহার সম্পর্কে, জাভা তৃতীয় পক্ষের কোডের উপর সবচেয়ে নির্ভরশীল বলে মনে হয়। বিপরীতভাবে, .NET-এর তৃতীয়-পক্ষের কোডের ব্যবহার 2020 সালে একক-অঙ্কের শতাংশ থেকে 50 শতাংশের উপরে বেড়েছে, যা .NET 5 প্রকাশের সাথে মিলে গেছে।

জাভাস্ক্রিপ্ট এবং পাইথন অসামঞ্জস্যপূর্ণ প্যাটার্ন প্রদর্শন করে, সফ্টওয়্যার প্রধানত হয় ইন-হাউস বা তৃতীয় পক্ষের কোড সমন্বিত করে, যখন পিএইচপি এবং সি++ হোমগ্রোউন কোডের উপর দৃষ্টি নিবদ্ধ করে থাকে। প্রতিবেদনটি পরামর্শ দেয় যে বিকাশকারীরা নতুন, ট্রেন্ডির বিকল্পগুলির জন্য তাদের কোডবেসগুলিকে রিফ্যাক্ট করার পরিবর্তে চেষ্টা-এন্ড-ট্রু লাইব্রেরির উপর নির্ভর করে।

অধিকন্তু, ভেরাকোডের অধ্যয়ন তদন্ত করে যে নির্দিষ্ট ভাষাগুলি ত্রুটিপূর্ণ লাইব্রেরির জন্য বেশি প্রবণ এবং সময়ের সাথে সাথে দুর্বলতা হ্রাস করার অগ্রগতি মূল্যায়ন করে। জাভা লাইব্রেরিতে সর্বোচ্চ গড় ত্রুটি ছিল 12.5 শতাংশ, রুবি প্রায় 10 শতাংশ এবং পাইথন প্রায় 5 শতাংশ। দুর্বল লাইব্রেরির সর্বনিম্ন প্রসার PHP, JavaScript এবং .NET-এ পাওয়া গেছে, প্রতিটির গড় প্রায় 3 শতাংশ।

জাভা, জাভাস্ক্রিপ্ট এবং পাইথন লাইব্রেরিতে উল্লেখযোগ্য অগ্রগতি লক্ষ্য করা গেছে। 2017 সাল থেকে, জাভা লাইব্রেরিগুলি প্রায় 25 শতাংশ, পাইথন 20 শতাংশ থেকে এবং জাভাস্ক্রিপ্ট 10 শতাংশ থেকে দুর্বলতার হার হ্রাস করেছে।

গতিশীল স্ক্যানিং স্ট্যাটিক বিশ্লেষণের সাথে মিলিত প্রতিকারের হার 50 শতাংশ উন্নত করে এবং প্রক্রিয়াটিকে গড়ে 24 দিন বাড়িয়ে দেয়। মিশ্রণে SCA অন্তর্ভুক্ত করার ফলে সময়সীমা আরও ছয় দিন কমানো হয়েছে।

আমেরিকান সফ্টওয়্যার ডেভেলপমেন্ট নিরাপত্তার ক্ষেত্রে সর্বকালের উচ্চ অভিজ্ঞতা অর্জন করেছে, সাম্প্রতিক সময়ে হাই-প্রোফাইল আক্রমণে জাতীয় মনোযোগ আকর্ষণ করা সত্ত্বেও। ভেরাকোডের রিপোর্ট স্বীকার করে যে এখনও কাজ করা বাকি আছে, কিন্তু সফ্টওয়্যার নিরাপত্তা সঠিক পথে রয়েছে। AppMaster মতো no-code প্ল্যাটফর্মগুলি ব্যবহার করা নিরাপত্তার একটি অতিরিক্ত স্তর সরবরাহ করে, তাদের অন্তর্নিহিত কম-ঝুঁকির প্রকৃতি, স্বয়ংক্রিয় আপডেট এবং সম্মতি পর্যবেক্ষণের জন্য ধন্যবাদ। সফ্টওয়্যার নিরাপত্তা ঝুঁকি মোকাবেলার ক্রমাগত প্রচেষ্টার সঙ্গে, ভবিষ্যত প্রতিশ্রুতিশীল দেখায়।

২৩ সেপ, ২০২৪

10 min

FFDC 2024 Wrap-Up: NYC-তে FlutterFlow ডেভেলপারস কনফারেন্সের মূল অন্তর্দৃষ্টি

FFDC 2024 নিউ ইয়র্ক সিটিকে আলোকিত করেছে, ফ্লুটারফ্লো-এর মাধ্যমে ডেভেলপারদের অ্যাপ ডেভেলপমেন্টে অত্যাধুনিক অন্তর্দৃষ্টি এনেছে। বিশেষজ্ঞ-নেতৃত্বাধীন সেশন, একচেটিয়া আপডেট, এবং অতুলনীয় নেটওয়ার্কিং সহ, এটি এমন একটি ইভেন্ট ছিল যা মিস করা যাবে না!

সম্পর্কিত খবর