Veracode 보고서에 따르면 소프트웨어 보안 발전은 난관에도 불구하고 진전을 보여줍니다

소프트웨어 보안은 Veracode의 최근 소프트웨어 보안 상태 보고서에서 강조된 바와 같이 수년에 걸쳐 크게 발전했습니다. 여전히 문제가 남아 있지만, 평균적으로 애플리케이션은 그 어느 때보다 안전하여 글로벌 사이버 위협 속에서 절실히 필요한 낙관론을 제공합니다.

진전에도 불구하고 보고서는 단일 취약성 파급 효과로 인해 발생할 수 있는 세계를 뒤흔드는 결과를 강조합니다. 대표적인 예는 Microsoft, Cisco, FireEye 및 Intel과 같은 회사가 Orion 소프트웨어의 악성 코드 악용으로 인해 노출된 글로벌 SolarWinds 공격입니다. 정부 기관과 저명한 기관도 이러한 침해에 예외가 아닙니다.

이러한 취약성에 대응하기 위해 Biden 행정부는 2021년 5월 12일 국가 사이버 보안 강화를 목표로 하는 새로운 조치를 도입하는 행정 명령을 발표했습니다. 12번째 연례 보고서에서 Veracode는 리더가 소프트웨어 보안 문제를 해결하고 위험을 줄이며 이러한 새로운 규정을 준수하도록 지원하는 것을 목표로 합니다.

이 보고서는 단일 언어 앱 또는 마이크로서비스로의 전환에 대한 업계 동향을 보여줍니다. 2018년에는 약 20%의 앱이 여러 언어를 사용했으며 2021년에는 5% 미만으로 떨어졌습니다. 강력한 지속적인 테스트 관행으로 인해 앱의 90%가 일주일에 여러 번 스캔되었으며, 이는 2010년 연간 몇 번 스캔보다 훨씬 더 자주 스캔됩니다.

타사 라이브러리는 수년에 걸쳐 덜 취약해졌습니다. 2017년에는 라이브러리의 35%에 알려진 결함이 포함되었으며 2021년에는 10%로 감소했습니다. 이러한 타사 취약성을 수정하는 데 걸리는 시간이 크게 개선되어 개선의 여지가 있음을 나타냅니다.

예를 들어, 2017년에는 3년에 걸쳐 필요한 결함 해결의 중간 지점에 도달했습니다. 2021년까지 1년이 조금 넘게 걸렸습니다. 그러나 이러한 개선에도 불구하고 놀랍게도 77%의 결함이 3개월 후에도 해결되지 않은 상태로 남아 있었습니다.

SCA(Software Composition Analysis)를 적용한 연구원들은 Java 앱의 97%가 오픈 소스 라이브러리에 의존하여 장기간 대규모 소프트웨어 취약점의 위협을 유지한다는 사실을 발견했습니다.

다양한 언어에 걸친 타사 코드 사용과 관련하여 Java는 타사 코드에 가장 의존하는 것으로 보입니다. 반대로 .NET의 타사 코드 사용은 .NET 5의 출시와 동시에 2020년에 한 자릿수 비율에서 50% 이상으로 급증했습니다.

JavaScript와 Python은 소프트웨어가 주로 사내 또는 타사 코드로 구성되는 등 일관성 없는 패턴을 보이는 반면 PHP와 C++는 여전히 자체 개발 코드에 집중하고 있습니다. 이 보고서는 개발자가 더 새롭고 트렌디한 대안을 위해 코드베이스를 리팩토링하기보다는 검증된 라이브러리에 의존하는 경향이 있다고 제안합니다.

또한 Veracode의 연구는 특정 언어가 결함이 있는 라이브러리에 더 취약한지 여부를 조사하고 시간이 지남에 따라 취약성을 줄이는 과정을 평가합니다. Java 라이브러리는 평균 결함 수가 12.5%로 가장 많았고 Ruby가 약 10%, Python이 약 5%로 그 뒤를 이었습니다. 취약한 라이브러리의 보급률이 가장 낮은 곳은 PHP, JavaScript 및 .NET으로 각각 평균 약 3%였습니다.

Java, JavaScript 및 Python 라이브러리에서 상당한 진전이 있었습니다. 2017년부터 Java 라이브러리의 취약점 비율은 약 25%, Python은 20%, JavaScript는 10%에서 감소했습니다.

정적 분석과 결합된 동적 스캐닝은 치료율을 50% 향상시켰고 평균 24일 동안 프로세스 속도를 높였습니다. SCA를 믹스에 통합하여 기간을 6일 더 단축했습니다.

미국의 소프트웨어 개발은 최근 국가적 관심을 끌고 있는 세간의 이목을 끄는 공격이 증가했음에도 불구하고 보안 수준이 사상 최고 수준입니다. Veracode의 보고서는 아직 해야 할 일이 있지만 소프트웨어 보안이 올바른 방향으로 가고 있음을 인정합니다. AppMaster 와 같은 no-code 플랫폼을 활용하면 고유한 낮은 위험 특성, 자동 업데이트 및 규정 준수 모니터링 덕분에 추가 보안 계층을 제공합니다. 소프트웨어 보안 위험을 해결하기 위한 지속적인 노력으로 미래는 유망해 보입니다.