Veracode Raporuna Göre Yazılım Güvenliği Gelişmeleri Zorluklara Rağmen İlerleme Gösteriyor

Veracode'un son Yazılım Güvenliği Durumu raporunda vurgulandığı gibi, yazılım güvenliği yıllar içinde önemli ölçüde gelişmiştir. Zorluklar devam etse de, ortalama olarak uygulamalar hiç bu kadar güvenli olmamıştı ve küresel siber tehditler arasında çok ihtiyaç duyulan bir iyimserlik sağlıyor.

İlerlemeye rağmen, rapor tek bir güvenlik açığı dalgalanma etkisinden kaynaklanabilecek dünyayı sarsan sonuçlara vurgu yapıyor. En iyi örnek, Microsoft, Cisco, FireEye ve Intel gibi şirketlerin Orion yazılımlarındaki kötü amaçlı kod istismarı nedeniyle açığa çıkmasına neden olan küresel SolarWinds saldırısıdır. Devlet kurumları ve tanınmış kurumlar bu ihlalin bir istisnası değildi.

Biden yönetimi, bu tür güvenlik açıklarına karşı koymak için 12 Mayıs 2021'de ulusal siber güvenliği güçlendirmeyi amaçlayan yeni önlemler getiren bir yürütme emri yayınladı. Veracode, 12. yıllık raporunda liderlere yazılım güvenliğini ele alma, riski azaltma ve bu yeni düzenlemelere uyma konusunda yardımcı olmayı hedefliyor.

Rapor, tek dilli uygulamalara veya mikro hizmetlere geçişe yönelik bir endüstri eğilimini ortaya koyuyor. 2018'de uygulamaların yaklaşık yüzde 20'si birden çok dil kullanıyordu ve bu oran 2021'de yüzde 5'in altına düştü. Sağlam sürekli test uygulamaları, uygulamaların yüzde 90'ının haftada birden çok kez taranmasına yol açtı; bu, 2010'da yılda yapılan birkaç taramadan önemli ölçüde daha sıktı.

Üçüncü taraf kitaplıkları yıllar içinde daha az savunmasız hale geldi. 2017'de kütüphanelerin yüzde 35'i bilinen bir kusur içeriyordu ve bu oran 2021'de yüzde 10'a düşürüldü. Bu üçüncü taraf güvenlik açıklarını düzeltmek için gereken süre konusunda büyük ilerlemeler kaydedildi ve bu da iyileştirmeye açık olduğunu gösteriyor.

Örneğin, 2017'de kusur çözümünde yarı noktaya ulaşmak için üç yıl gerekiyor; 2021'e kadar bir yıldan biraz fazla sürdü. Yine de, bu kazanımlara rağmen, kusurların endişe verici bir şekilde yüzde 77'si üç ay sonra çözülmeden kaldı.

Yazılım Kompozisyon Analizi (SCA) uygulayan araştırmacılar, Java uygulamalarının yüzde 97'sinin açık kaynaklı kitaplıklara dayandığını ve büyük ölçekli yazılım güvenlik açıkları tehdidini uzun süre koruduğunu keşfettiler.

Çeşitli dillerde üçüncü taraf kod kullanımıyla ilgili olarak, Java üçüncü taraf koduna en çok bağımlı gibi görünüyor. Tersine, .NET'in üçüncü taraf kod kullanımı, 2020'de tek haneli bir yüzdeden yüzde 50'nin üzerine çıkarak, .NET 5'in piyasaya sürülmesiyle aynı zamana denk geldi.

JavaScript ve Python, yazılım ağırlıklı olarak ya şirket içi ya da üçüncü taraf kodundan oluşurken, PHP ve C++ yerel koda odaklanmaya devam ederek tutarsız kalıplar görüntüler. Rapor, geliştiricilerin kod tabanlarını daha yeni, daha trend alternatifler için yeniden düzenlemek yerine denenmiş ve doğrulanmış kitaplıklara güvenme eğiliminde olduklarını gösteriyor.

Ayrıca Veracode'un çalışması, belirli dillerin kusurlu kitaplıklara daha yatkın olup olmadığını araştırıyor ve zaman içinde güvenlik açıklarını azaltmadaki ilerlemeyi değerlendiriyor. Java kitaplıkları yüzde 12,5 ile en yüksek ortalama kusur sayısına sahipken, onu yaklaşık yüzde 10 ile Ruby ve yaklaşık yüzde 5 ile Python izledi. Savunmasız kitaplıkların en düşük yaygınlığı, her biri ortalama yüzde 3 olan PHP, JavaScript ve .NET'te bulundu.

Java, JavaScript ve Python kitaplıklarında önemli ilerleme kaydedilmiştir. 2017'den bu yana, Java kitaplıkları güvenlik açığı oranlarını yaklaşık yüzde 25'ten, Python'u yüzde 20'den ve JavaScript'i yüzde 10'dan düşürdü.

Statik analizle birleştirilmiş dinamik tarama, düzeltme oranlarını yüzde 50 artırdı ve süreci ortalama 24 gün hızlandırdı. SCA'yı karışıma dahil etmek, zaman çerçevesini altı gün daha kısalttı.

Amerikan yazılım geliştirme, ulusal dikkatleri üzerine çeken yüksek profilli saldırılardaki son artışa rağmen, güvenlikte tüm zamanların en yüksek seviyesini yaşıyor. Veracode'un raporu, yapılacak daha çok iş olduğunu, ancak yazılım güvenliğinin doğru yolda olduğunu kabul ediyor. AppMaster gibi no-code platformların kullanılması, doğaları gereği düşük riskli yapıları, otomatik güncellemeleri ve uyumluluk izlemesi sayesinde ek bir güvenlik katmanı sağlar. Yazılım güvenliği risklerini ele almaya yönelik sürekli çabalarla, gelecek umut verici görünüyor.