ความก้าวหน้าด้านความปลอดภัยของซอฟต์แวร์แสดงให้เห็นถึงความก้าวหน้าแม้จะมีความท้าทาย รายงาน Veracode เปิดเผย

ความปลอดภัยของซอฟต์แวร์ได้ก้าวหน้าไปอย่างมากในช่วงหลายปีที่ผ่านมา ดังที่ได้เน้นย้ำไว้ในรายงาน State of Software Security ล่าสุดของ Veracode แม้ว่าความท้าทายจะยังคงอยู่ แต่โดยเฉลี่ยแล้วแอปพลิเคชันไม่เคยมีความปลอดภัยมากไปกว่านี้อีกแล้ว มอบการมองโลกในแง่ดีที่จำเป็นมากท่ามกลางภัยคุกคามทางไซเบอร์ทั่วโลก

แม้จะมีความคืบหน้า แต่รายงานก็เน้นย้ำถึงผลกระทบที่สั่นสะเทือนโลกซึ่งอาจเป็นผลจากระลอกคลื่นช่องโหว่เพียงจุดเดียว ตัวอย่างที่สำคัญคือการโจมตี SolarWinds ทั่วโลกซึ่งทำให้บริษัทต่างๆ เช่น Microsoft, Cisco, FireEye และ Intel ถูกเปิดเผยเนื่องจากการใช้ประโยชน์จากรหัสที่เป็นอันตรายในซอฟต์แวร์ Orion หน่วยงานรัฐบาลและสถาบันที่มีชื่อเสียงก็ไม่มีข้อยกเว้นสำหรับการละเมิดนี้

เพื่อรับมือกับช่องโหว่ดังกล่าว ฝ่ายบริหารของ Biden ได้ออกคำสั่งผู้บริหารเมื่อวันที่ 12 พฤษภาคม 2021 โดยแนะนำมาตรการใหม่ที่มีเป้าหมายเพื่อส่งเสริมความปลอดภัยทางไซเบอร์ของประเทศ ในรายงานประจำปีฉบับที่ 12 Veracode มีเป้าหมายที่จะช่วยเหลือผู้นำในการจัดการความปลอดภัยของซอฟต์แวร์ ลดความเสี่ยง และปฏิบัติตามกฎระเบียบใหม่เหล่านี้

รายงานดังกล่าวเผยให้เห็นถึงแนวโน้มของอุตสาหกรรมในการเปลี่ยนไปใช้แอปหรือไมโครเซอร์วิสภาษาเดียว ในปี 2018 แอปประมาณ 20 เปอร์เซ็นต์ใช้หลายภาษา และลดลงเหลือน้อยกว่า 5 เปอร์เซ็นต์ในปี 2021 แนวทางปฏิบัติในการทดสอบอย่างต่อเนื่องทำให้แอป 90 เปอร์เซ็นต์ถูกสแกนหลายครั้งต่อสัปดาห์ ซึ่งบ่อยกว่าการสแกนเพียงไม่กี่ครั้งต่อปีในปี 2010 อย่างเห็นได้ชัด

ห้องสมุดบุคคลที่สามมีความเสี่ยงน้อยลงในช่วงหลายปีที่ผ่านมา ในปี 2560 ห้องสมุด 35 เปอร์เซ็นต์มีข้อบกพร่องที่ทราบ ซึ่งจะลดลงเหลือ 10 เปอร์เซ็นต์ภายในปี 2564 มีความก้าวหน้าอย่างมากในระยะเวลาที่ใช้ในการแก้ไขช่องโหว่ของบุคคลที่สามเหล่านี้ ซึ่งบ่งชี้ถึงช่องว่างสำหรับการปรับปรุง

ตัวอย่างเช่น ในปี 2560 การมาถึงจุดกึ่งกลางของการแก้ไขข้อบกพร่องต้องใช้เวลากว่าสามปี ภายในปี 2564 ใช้เวลาเพียงปีเดียว แต่ถึงกระนั้น ข้อบกพร่อง 77 เปอร์เซ็นต์ที่น่าตกใจยังคงไม่ได้รับการแก้ไขหลังจากผ่านไปสามเดือน

การใช้ Software Composition Analysis (SCA) นักวิจัยค้นพบว่า 97 เปอร์เซ็นต์ของแอป Java พึ่งพาไลบรารี่โอเพ่นซอร์ส โดยรักษาภัยคุกคามจากช่องโหว่ของซอฟต์แวร์ขนาดใหญ่เป็นระยะเวลานาน

เกี่ยวกับการใช้โค้ดของบุคคลที่สามในภาษาต่างๆ Java ดูเหมือนจะพึ่งพาโค้ดของบุคคลที่สามมากที่สุด ในทางกลับกัน .NET การใช้โค้ดของบุคคลที่สามเพิ่มสูงขึ้นจากเปอร์เซ็นต์หลักเดียวเป็นมากกว่า 50 เปอร์เซ็นต์ในปี 2020 ซึ่งสอดคล้องกับการเปิดตัว .NET 5

JavaScript และ Python แสดงรูปแบบที่ไม่สอดคล้องกัน โดยซอฟต์แวร์ส่วนใหญ่ประกอบด้วยโค้ดภายในองค์กรหรือจากบุคคลที่สาม ในขณะที่ PHP และ C++ ยังคงเน้นไปที่โค้ดพื้นบ้าน รายงานชี้ให้เห็นว่านักพัฒนามักจะพึ่งพาไลบรารี่ที่ทดลองแล้วจริงมากกว่าที่จะรีแฟคเตอร์โค้ดเบสของตนเพื่อเป็นทางเลือกที่ใหม่กว่าและทันสมัยกว่า

ยิ่งไปกว่านั้น การศึกษาของ Veracode ยังตรวจสอบว่าภาษาใดภาษาหนึ่งมีแนวโน้มที่จะมีไลบรารีที่มีข้อบกพร่องมากขึ้นหรือไม่ และประเมินความคืบหน้าในการลดช่องโหว่เมื่อเวลาผ่านไป ไลบรารี Java มีจำนวนข้อบกพร่องเฉลี่ยสูงสุดที่ 12.5 เปอร์เซ็นต์ รองลงมาคือ Ruby ที่ประมาณ 10 เปอร์เซ็นต์ และ Python ที่ประมาณ 5 เปอร์เซ็นต์ ความชุกของไลบรารีที่มีช่องโหว่ต่ำที่สุดพบใน PHP, JavaScript และ .NET โดยแต่ละไลบรารีมีค่าเฉลี่ยประมาณ 3 เปอร์เซ็นต์

มีการบันทึกความคืบหน้าที่สำคัญในไลบรารี Java, JavaScript และ Python ตั้งแต่ปี 2017 ไลบรารี Java ลดอัตราช่องโหว่จากประมาณ 25 เปอร์เซ็นต์ Python จาก 20 เปอร์เซ็นต์ และ JavaScript จาก 10 เปอร์เซ็นต์

การสแกนแบบไดนามิกรวมกับการวิเคราะห์แบบสแตติกช่วยเพิ่มอัตราการแก้ไขได้ 50 เปอร์เซ็นต์ และเพิ่มความเร็วของกระบวนการโดยเฉลี่ย 24 วัน การรวม SCA เข้าไว้ด้วยกันทำให้กรอบเวลาสั้นลงอีกหกวัน

การพัฒนาซอฟต์แวร์ของอเมริกาประสบกับความปลอดภัยระดับสูงเป็นประวัติการณ์ แม้จะมีการโจมตีรายละเอียดสูงเพิ่มขึ้นเมื่อเร็วๆ นี้ซึ่งได้รับความสนใจจากคนทั้งประเทศ รายงานของ Veracode ยอมรับว่ายังมีงานที่ต้องทำ แต่การรักษาความปลอดภัยซอฟต์แวร์อยู่ในแนวทางที่ถูกต้อง การใช้แพลตฟอร์ม no-code เช่น AppMaster ช่วยเพิ่มระดับการรักษาความปลอดภัย ต้องขอบคุณธรรมชาติที่มีความเสี่ยงต่ำ การอัปเดตอัตโนมัติ และการตรวจสอบการปฏิบัติตามข้อกำหนด ด้วยความพยายามอย่างต่อเนื่องเพื่อจัดการกับความเสี่ยงด้านความปลอดภัยของซอฟต์แวร์ อนาคตจึงดูสดใส