Достижения в области безопасности программного обеспечения показывают прогресс, несмотря на проблемы, как показывает отчет Veracode

Безопасность программного обеспечения значительно улучшилась за последние годы, как подчеркивается в недавнем отчете Veracode о состоянии безопасности программного обеспечения. Несмотря на то, что проблемы остаются, приложения в среднем никогда не были более безопасными, что вселяет столь необходимый оптимизм в условиях глобальных киберугроз.

Несмотря на достигнутый прогресс, в отчете подчеркиваются потрясающие мир последствия, которые могут возникнуть в результате одного волнового эффекта уязвимости. Ярким примером является глобальная атака SolarWinds, в результате которой такие компании, как Microsoft, Cisco, FireEye и Intel, оказались уязвимыми из-за использования вредоносного кода в их программном обеспечении Orion. Правительственные учреждения и известные учреждения не стали исключением из этого нарушения.

Чтобы противодействовать таким уязвимостям, администрация Байдена 12 мая 2021 года издала указ, в котором вводятся новые меры, направленные на укрепление национальной кибербезопасности. В своем 12-м ежегодном отчете Veracode стремится помочь лидерам в обеспечении безопасности программного обеспечения, снижении рисков и соблюдении этих новых правил.

Отчет раскрывает отраслевую тенденцию к переходу на одноязычные приложения или микросервисы. В 2018 году около 20 процентов приложений использовали несколько языков, а в 2021 году их доля упала до менее 5 процентов. Надежные методы непрерывного тестирования привели к тому, что 90 процентов приложений сканировались несколько раз в неделю, что значительно чаще, чем несколько проверок в год в 2010 году.

Сторонние библиотеки с годами стали менее уязвимыми. В 2017 г. 35 % библиотек содержали известные уязвимости, а к 2021 г. их количество сократилось до 10 %. Были достигнуты большие успехи в отношении времени, необходимого для устранения этих сторонних уязвимостей, что указывает на возможности для улучшения.

Например, в 2017 году для достижения половины пути устранения дефектов потребовалось более трех лет; к 2021 году на это ушло чуть больше года. Тем не менее, даже с этими достижениями тревожные 77 процентов недостатков остались неустраненными через три месяца.

Применяя анализ состава программного обеспечения (SCA), исследователи обнаружили, что 97% приложений Java основаны на библиотеках с открытым исходным кодом, что поддерживает угрозу крупномасштабных уязвимостей программного обеспечения в течение длительного времени.

Что касается использования стороннего кода на разных языках, Java, похоже, больше всего зависит от стороннего кода. И наоборот, использование стороннего кода в .NET выросло с однозначного процента до более чем 50 процентов в 2020 году, что совпало с выпуском .NET 5.

JavaScript и Python демонстрируют противоречивые модели: программное обеспечение преимущественно состоит из внутреннего или стороннего кода, в то время как PHP и C++ по-прежнему сосредоточены на собственном коде. В отчете говорится, что разработчики, как правило, полагаются на проверенные временем библиотеки, а не проводят рефакторинг своих кодовых баз для поиска более новых и модных альтернатив.

Кроме того, в исследовании Veracode выясняется, являются ли определенные языки более подверженными ошибкам в библиотеках, и оценивается прогресс в сокращении уязвимостей с течением времени. Библиотеки Java имеют наибольшее среднее количество ошибок — 12,5%, за ними следуют Ruby (примерно 10%) и Python (около 5%). Наименьшая распространенность уязвимых библиотек была обнаружена в PHP, JavaScript и .NET, в среднем примерно по 3 процента на каждую из них.

Значительный прогресс был отмечен в библиотеках Java, JavaScript и Python. С 2017 года в библиотеках Java уровень уязвимости снизился примерно с 25 процентов, в Python — с 20 процентов, а в JavaScript — с 10 процентов.

Динамическое сканирование в сочетании со статическим анализом повысило скорость исправления на 50 процентов и ускорило процесс в среднем на 24 дня. Включение SCA в состав еще больше сократило временные рамки еще на шесть дней.

Американская разработка программного обеспечения демонстрирует небывало высокий уровень безопасности, несмотря на недавнее увеличение громких атак, привлекших внимание всей страны. В отчете Veracode признается, что еще многое предстоит сделать, но безопасность программного обеспечения находится на правильном пути. Использование платформ no-code таких как AppMaster, обеспечивает дополнительный уровень безопасности благодаря присущей им низкой степени риска, автоматическим обновлениям и мониторингу соответствия. Благодаря постоянным усилиям по устранению рисков безопасности программного обеспечения будущее выглядит многообещающим.