Kemajuan Keamanan Perangkat Lunak Menunjukkan Kemajuan Meskipun Banyak Tantangan, Laporan Veracode Diungkapkan

Keamanan perangkat lunak telah meningkat secara signifikan selama bertahun-tahun, seperti yang disoroti dalam laporan State of Software Security Veracode baru-baru ini. Meskipun masih ada tantangan, aplikasi rata-rata tidak pernah lebih aman, memberikan optimisme yang sangat dibutuhkan di tengah ancaman dunia maya global.

Terlepas dari kemajuannya, laporan tersebut menekankan konsekuensi yang mengguncang dunia yang dapat dihasilkan dari efek riak kerentanan tunggal. Contoh utama adalah serangan global SolarWinds, yang membuat perusahaan seperti Microsoft, Cisco, FireEye, dan Intel terpapar karena eksploitasi kode berbahaya dalam perangkat lunak Orion mereka. Instansi pemerintah dan institusi terkenal tidak terkecuali dalam pelanggaran ini.

Untuk menangkal kerentanan tersebut, pemerintahan Biden mengeluarkan perintah eksekutif pada 12 Mei 2021, memperkenalkan langkah-langkah baru yang bertujuan untuk memperkuat keamanan siber nasional. Dalam laporan tahunannya yang ke-12, Veracode bertujuan untuk membantu para pemimpin dalam menangani keamanan perangkat lunak, mengurangi risiko, dan mematuhi peraturan baru ini.

Laporan tersebut mengungkapkan tren industri menuju peralihan ke aplikasi atau layanan mikro satu bahasa. Pada tahun 2018, sekitar 20 persen aplikasi menggunakan banyak bahasa, turun menjadi kurang dari 5 persen pada tahun 2021. Praktik pengujian berkelanjutan yang kuat menyebabkan 90 persen aplikasi dipindai beberapa kali per minggu—jauh lebih sering daripada beberapa pemindaian per tahun pada tahun 2010.

Perpustakaan pihak ketiga menjadi kurang rentan selama bertahun-tahun. Pada tahun 2017, 35 persen perpustakaan memiliki kelemahan yang diketahui, yang berkurang menjadi 10 persen pada tahun 2021. Langkah besar telah dilakukan dalam waktu yang dibutuhkan untuk memperbaiki kerentanan pihak ketiga ini, yang menunjukkan ruang untuk perbaikan.

Misalnya, pada tahun 2017, mencapai titik tengah dalam penyelesaian cacat membutuhkan waktu lebih dari tiga tahun; pada tahun 2021, butuh waktu lebih dari setahun. Namun, bahkan dengan keuntungan ini, 77 persen kekurangan yang mengkhawatirkan masih belum terselesaikan setelah tiga bulan.

Menerapkan Analisis Komposisi Perangkat Lunak (SCA), para peneliti menemukan bahwa 97 persen aplikasi Java bergantung pada perpustakaan sumber terbuka, mempertahankan ancaman kerentanan perangkat lunak skala besar untuk waktu yang lama.

Mengenai penggunaan kode pihak ketiga di berbagai bahasa, Java tampaknya paling bergantung pada kode pihak ketiga. Sebaliknya, penggunaan kode pihak ketiga oleh .NET melonjak dari persentase satu digit menjadi lebih dari 50 persen pada tahun 2020, bertepatan dengan perilisan .NET 5.

JavaScript dan Python menampilkan pola yang tidak konsisten, dengan perangkat lunak sebagian besar terdiri dari kode internal atau kode pihak ketiga, sementara PHP dan C++ tetap fokus pada kode buatan sendiri. Laporan tersebut menunjukkan bahwa pengembang cenderung mengandalkan perpustakaan yang sudah terbukti benar daripada memperbaiki basis kode mereka untuk alternatif yang lebih baru dan lebih trendi.

Selain itu, studi Veracode menyelidiki apakah bahasa tertentu lebih rentan terhadap pustaka yang cacat dan mengevaluasi kemajuan dalam mengurangi kerentanan dari waktu ke waktu. Pustaka Java memiliki rata-rata jumlah cacat tertinggi sebesar 12,5 persen, diikuti oleh Ruby sekitar 10 persen, dan Python sekitar 5 persen. Prevalensi perpustakaan rentan terendah ditemukan di PHP, JavaScript, dan .NET, masing-masing rata-rata sekitar 3 persen.

Kemajuan signifikan dicatat di perpustakaan Java, JavaScript, dan Python. Sejak 2017, perpustakaan Java menurunkan tingkat kerentanan dari sekitar 25 persen, Python dari 20 persen, dan JavaScript dari 10 persen.

Pemindaian dinamis dikombinasikan dengan analisis statis meningkatkan tingkat remediasi sebesar 50 persen dan mempercepat proses rata-rata 24 hari. Memasukkan SCA ke dalam campuran semakin mempersingkat jangka waktu enam hari lagi.

Pengembangan perangkat lunak Amerika mengalami keamanan tertinggi sepanjang masa, meskipun peningkatan serangan profil tinggi baru-baru ini menarik perhatian nasional. Laporan Veracode mengakui bahwa masih ada pekerjaan yang harus diselesaikan, tetapi keamanan perangkat lunak berada di jalur yang benar. Memanfaatkan platform no-code seperti AppMaster memberikan lapisan keamanan tambahan, berkat sifatnya yang berisiko rendah, pembaruan otomatis, dan pemantauan kepatuhan. Dengan upaya berkelanjutan untuk mengatasi risiko keamanan perangkat lunak, masa depan tampak menjanjikan.