ソフトウェア セキュリティの進歩は課題にもかかわらず進歩を示していることを Veracode レポートが明らかに

Veracode の最近の State of Software Security レポートで強調されているように、ソフトウェア セキュリティは長年にわたって大幅に進歩しています。課題は残っていますが、アプリケーションは平均してかつてないほど安全であり、世界的なサイバー脅威の中で非常に必要とされている楽観主義を提供しています.

進歩にもかかわらず、報告書は、単一の脆弱性の波及効果から生じる可能性がある世界を揺るがす結果を強調しています。代表的な例は、グローバルな SolarWinds 攻撃です。Microsoft、Cisco、FireEye、Intel などの企業は、Orion ソフトウェアでの悪意のあるコードの悪用により危険にさらされました。政府機関や著名な機関も、この侵害の例外ではありませんでした。

このような脆弱性に対抗するために、バイデン政権は 2021 年 5 月 12 日に大統領令を発表し、国家のサイバーセキュリティを強化することを目的とした新しい措置を導入しました。 Veracode は、第 12 回年次報告書で、リーダーがソフトウェア セキュリティに対処し、リスクを軽減し、これらの新しい規制に準拠するのを支援することを目指しています。

このレポートは、単一言語のアプリまたはマイクロサービスへの移行に向けた業界の傾向を明らかにしています。 2018 年には、アプリの約 20% が複数の言語を使用していましたが、2021 年には 5% 未満に減少しました。堅牢な継続的テストの実践により、アプリの 90% が週に複数回スキャンされるようになりました。これは、2010 年の年に数回のスキャンよりもはるかに頻繁です。

サードパーティのライブラリは、長年にわたって脆弱性が軽減されています。 2017 年には、ライブラリの 35% に既知の欠陥が含まれていましたが、2021 年までに 10% に減少しました。これらのサードパーティの脆弱性を修正するのにかかる時間は大幅に短縮されており、改善の余地があることを示しています。

たとえば、2017 年には、欠陥解決の中間点に到達するのに 3 年を要しました。 2021 年までに 1 年強かかりました。しかし、これらの改善にもかかわらず、驚くべきことに 77% の欠陥が 3 か月後に未解決のままでした。

ソフトウェア構成分析 (SCA) を適用した研究者は、Java アプリの 97% がオープンソース ライブラリに依存しており、大規模なソフトウェア脆弱性の脅威が長期間にわたって維持されていることを発見しました。

さまざまな言語でのサードパーティ コードの使用に関しては、Java がサードパーティ コードに最も依存しているようです。逆に、.NET でのサードパーティ コードの使用は、.NET 5 のリリースと同時に、2020 年には 1 桁のパーセンテージから 50% 以上に急増しました。

JavaScript と Python は一貫性のないパターンを示しており、ソフトウェアは主に社内またはサードパーティのコードで構成されていますが、PHP と C++ は引き続き自社開発のコードに重点を置いています。このレポートは、開発者がコードベースをリファクタリングして最新の流行の代替物を作成するよりも、実証済みのライブラリに依存する傾向があることを示唆しています。

さらに、Veracode の調査では、特定の言語が欠陥のあるライブラリに陥りやすいかどうかを調査し、時間の経過とともに脆弱性を減らす進歩を評価しています。 Java ライブラリの平均欠陥数は 12.5% で最も多く、Ruby が約 10%、Python が約 5% と僅差で続いています。脆弱なライブラリの普及率が最も低かったのは、PHP、JavaScript、および .NET で、それぞれ平均約 3% でした。

Java、JavaScript、および Python のライブラリで大きな進歩が見られました。 2017 年以降、Java ライブラリは脆弱性の割合を約 25% から、Python は 20% から、JavaScript は 10% から減少させました。

動的スキャンと静的分析を組み合わせることで、修復率が 50% 向上し、プロセスが平均 24 日間短縮されました。 SCA をミックスに組み込むことで、さらに 6 日間の時間枠が短縮されました。

米国のソフトウェア開発は、最近の注目度の高い攻撃の増加が全国的な注目を集めているにもかかわらず、史上最高のセキュリティを経験しています。 Veracode のレポートは、まだやるべきことがあると認めていますが、ソフトウェア セキュリティは正しい方向に進んでいます。 AppMasterのようなno-codeプラットフォームを利用すると、固有の低リスク性、自動更新、およびコンプライアンス監視のおかげで、追加のセキュリティ レイヤーが提供されます。ソフトウェアのセキュリティ リスクに対処するための継続的な取り組みにより、将来は有望に見えます。