Postępy w zakresie bezpieczeństwa oprogramowania pokazują postęp pomimo wyzwań, ujawnia raport Veracode

Bezpieczeństwo oprogramowania znacznie się rozwinęło na przestrzeni lat, jak podkreślono w ostatnim raporcie Veracode State of Software Security. Chociaż wyzwania wciąż istnieją, aplikacje średnio nigdy nie były bezpieczniejsze, co zapewnia bardzo potrzebny optymizm w obliczu globalnych zagrożeń cybernetycznych.

Pomimo postępów, raport podkreśla wstrząsające światem konsekwencje, które mogą wynikać z pojedynczego efektu falowania podatności. Doskonałym przykładem jest globalny atak SolarWinds, w wyniku którego firmy takie jak Microsoft, Cisco, FireEye i Intel zostały narażone z powodu wykorzystania złośliwego kodu w ich oprogramowaniu Orion. Agencje rządowe i renomowane instytucje nie były wyjątkiem od tego naruszenia.

Aby przeciwdziałać takim podatnościom, administracja Bidena wydała 12 maja 2021 r. rozporządzenie wykonawcze wprowadzające nowe środki mające na celu wzmocnienie krajowego bezpieczeństwa cybernetycznego. W swoim 12. raporcie rocznym Veracode ma na celu pomóc liderom w rozwiązywaniu problemów z bezpieczeństwem oprogramowania, zmniejszaniu ryzyka i przestrzeganiu nowych przepisów.

Raport ujawnia trend branżowy w kierunku przechodzenia na jednojęzyczne aplikacje lub mikrousługi. W 2018 roku około 20 procent aplikacji korzystało z wielu języków, a w 2021 roku odsetek ten spadł do mniej niż 5 procent. Solidne praktyki ciągłego testowania doprowadziły do tego, że 90 procent aplikacji było skanowanych wiele razy w tygodniu — znacznie częściej niż kilka skanów rocznie w 2010 roku.

Z biegiem lat biblioteki stron trzecich stały się mniej podatne na ataki. W 2017 r. 35 procent bibliotek zawierało znaną wadę, a do 2021 r. liczba ta zmniejszyła się do 10 procent. Poczyniono duże postępy w zakresie czasu potrzebnego na naprawienie tych luk stron trzecich, co wskazuje na konieczność ulepszeń.

Na przykład w 2017 r. osiągnięcie półmetka w usuwaniu błędów wymaganych w ciągu trzech lat; do 2021 roku zajęło to nieco ponad rok. Jednak nawet przy tych korzyściach alarmujące 77 procent usterek pozostało nierozwiązanych po trzech miesiącach.

Stosując analizę składu oprogramowania (SCA), badacze odkryli, że 97 procent aplikacji Java opiera się na bibliotekach typu open source, utrzymując zagrożenie ze strony luk w oprogramowaniu na dużą skalę przez dłuższy czas.

Jeśli chodzi o wykorzystanie kodu innych firm w różnych językach, Java wydaje się najbardziej polegać na kodzie innych firm. I odwrotnie, użycie kodu innej firmy przez platformę .NET wzrosło z jednocyfrowego procentu do ponad 50 procent w 2020 r., co zbiegło się z wydaniem platformy .NET 5.

JavaScript i Python wykazują niespójne wzorce, przy czym oprogramowanie zawiera głównie kod wewnętrzny lub kod strony trzeciej, podczas gdy PHP i C++ nadal koncentrują się na kodzie własnym. Raport sugeruje, że programiści mają tendencję do polegania na sprawdzonych bibliotekach, zamiast refaktoryzowania swoich baz kodu pod kątem nowszych, bardziej modnych alternatyw.

Ponadto badanie Veracode bada, czy określone języki są bardziej podatne na wadliwe biblioteki i ocenia postępy w zmniejszaniu luk w zabezpieczeniach w czasie. Biblioteki Java miały najwyższą średnią liczbę błędów na poziomie 12,5 procent, tuż za nimi plasowały się Ruby z około 10 procentami i Python z około 5 procentami. Najniższą częstość występowania podatnych na ataki bibliotek stwierdzono w PHP, JavaScript i .NET, z których każda wynosi średnio około 3 procent.

Znaczący postęp odnotowano w bibliotekach Java, JavaScript i Python. Od 2017 roku biblioteki Java zmniejszyły wskaźniki podatności na ataki z około 25 procent, Python z 20 procent, a JavaScript z 10 procent.

Skanowanie dynamiczne w połączeniu z analizą statyczną poprawiło wskaźniki napraw o 50 procent i przyspieszyło proces średnio o 24 dni. Włączenie SCA do miksu dodatkowo skróciło ramy czasowe o kolejne sześć dni.

Rozwój amerykańskiego oprogramowania charakteryzuje się najwyższym poziomem bezpieczeństwa, pomimo niedawnego wzrostu liczby głośnych ataków, które przyciągają uwagę całego kraju. Raport Veracode przyznaje, że wciąż jest wiele do zrobienia, ale bezpieczeństwo oprogramowania jest na dobrej drodze. Korzystanie z platform no-code takich jak AppMaster, zapewnia dodatkową warstwę bezpieczeństwa dzięki ich nieodłącznemu charakterowi niskiego ryzyka, automatycznym aktualizacjom i monitorowaniu zgodności. Dzięki ciągłym wysiłkom mającym na celu przeciwdziałanie zagrożeniom związanym z bezpieczeństwem oprogramowania przyszłość wygląda obiecująco.