Những cải tiến về bảo mật phần mềm cho thấy tiến độ bất chấp những thách thức, báo cáo Veracode tiết lộ

Bảo mật phần mềm đã tiến bộ đáng kể trong những năm qua, như được nhấn mạnh trong báo cáo Tình trạng Bảo mật Phần mềm gần đây của Veracode. Mặc dù vẫn còn những thách thức, nhưng nhìn chung, các ứng dụng chưa bao giờ an toàn hơn thế, mang đến sự lạc quan rất cần thiết trong bối cảnh các mối đe dọa mạng toàn cầu.

Bất chấp những tiến bộ, báo cáo nhấn mạnh những hậu quả làm rung chuyển thế giới có thể xảy ra do hiệu ứng gợn sóng dễ bị tổn thương. Một ví dụ điển hình là cuộc tấn công SolarWinds toàn cầu, khiến các công ty như Microsoft, Cisco, FireEye và Intel bị lộ do khai thác mã độc trong phần mềm Orion của họ. Các cơ quan chính phủ và các tổ chức nổi tiếng cũng không ngoại lệ đối với vi phạm này.

Để chống lại những lỗ hổng như vậy, chính quyền Biden đã ban hành một sắc lệnh hành pháp vào ngày 12 tháng 5 năm 2021, đưa ra các biện pháp mới nhằm củng cố an ninh mạng quốc gia. Trong báo cáo thường niên lần thứ 12, Veracode nhằm mục đích hỗ trợ các nhà lãnh đạo giải quyết vấn đề bảo mật phần mềm, giảm thiểu rủi ro và tuân thủ các quy định mới này.

Báo cáo cho thấy xu hướng của ngành đối với việc chuyển sang các ứng dụng hoặc vi dịch vụ đơn ngôn ngữ. Vào năm 2018, khoảng 20 phần trăm ứng dụng sử dụng nhiều ngôn ngữ, giảm xuống dưới 5 phần trăm vào năm 2021. Các phương pháp thử nghiệm liên tục mạnh mẽ đã dẫn đến 90 phần trăm ứng dụng được quét nhiều lần mỗi tuần—tần suất cao hơn đáng kể so với số lần quét mỗi năm vào năm 2010.

Các thư viện của bên thứ ba đã trở nên ít bị tổn thương hơn trong những năm qua. Vào năm 2017, 35 phần trăm thư viện chứa một lỗ hổng đã biết, con số này đã giảm xuống còn 10 phần trăm vào năm 2021. Đã có những bước tiến lớn trong khoảng thời gian cần thiết để khắc phục các lỗ hổng của bên thứ ba này, cho thấy khả năng cải thiện.

Chẳng hạn, vào năm 2017, việc giải quyết lỗ hổng đã đi được nửa chặng đường cần hơn ba năm; đến năm 2021, chỉ mất hơn một năm. Tuy nhiên, ngay cả với những lợi ích này, vẫn có 77% lỗ hổng đáng báo động vẫn chưa được giải quyết sau ba tháng.

Áp dụng Phân tích thành phần phần mềm (SCA), các nhà nghiên cứu đã phát hiện ra rằng 97% ứng dụng Java dựa trên các thư viện nguồn mở, duy trì mối đe dọa về các lỗ hổng phần mềm quy mô lớn trong thời gian dài.

Về việc sử dụng mã của bên thứ ba trên các ngôn ngữ khác nhau, Java dường như phụ thuộc nhiều nhất vào mã của bên thứ ba. Ngược lại, việc .NET sử dụng mã của bên thứ ba đã tăng từ tỷ lệ phần trăm một chữ số lên hơn 50 phần trăm vào năm 2020, trùng với thời điểm phát hành .NET 5.

JavaScript và Python hiển thị các mẫu không nhất quán, với phần mềm chủ yếu bao gồm mã nội bộ hoặc bên thứ ba, trong khi PHP và C++ vẫn tập trung vào mã cây nhà lá vườn. Báo cáo gợi ý rằng các nhà phát triển có xu hướng dựa vào các thư viện đã được thử và đúng thay vì cấu trúc lại cơ sở mã của họ để có các lựa chọn thay thế mới hơn, hợp thời trang hơn.

Hơn nữa, nghiên cứu của Veracode điều tra xem liệu các ngôn ngữ cụ thể có dễ bị các thư viện có lỗ hổng hơn hay không và đánh giá tiến trình giảm lỗ hổng theo thời gian. Các thư viện Java có số lỗi trung bình cao nhất là 12,5%, theo sát là Ruby với khoảng 10% và Python với khoảng 5%. Tỷ lệ thư viện dễ bị tổn thương thấp nhất được tìm thấy trong PHP, JavaScript và .NET, mỗi thư viện có tỷ lệ trung bình khoảng 3%.

Tiến bộ đáng kể đã được ghi nhận trong các thư viện Java, JavaScript và Python. Kể từ năm 2017, các thư viện Java đã giảm tỷ lệ lỗ hổng từ khoảng 25%, Python từ 20% và JavaScript từ 10%.

Tính năng quét động kết hợp với phân tích tĩnh đã cải thiện tỷ lệ khắc phục lên 50 phần trăm và tăng tốc quá trình lên trung bình 24 ngày. Kết hợp SCA vào hỗn hợp tiếp tục rút ngắn khung thời gian thêm sáu ngày nữa.

Hoạt động phát triển phần mềm của Mỹ đạt mức bảo mật cao nhất mọi thời đại, bất chấp sự gia tăng gần đây của các cuộc tấn công nghiêm trọng đang thu hút sự chú ý của cả nước. Báo cáo của Veracode thừa nhận rằng vẫn còn nhiều việc phải làm nhưng bảo mật phần mềm đang đi đúng hướng. Việc sử dụng các nền tảng no-code như AppMaster cung cấp thêm một lớp bảo mật, nhờ vào bản chất rủi ro thấp, cập nhật tự động và giám sát tuân thủ vốn có của chúng. Với những nỗ lực liên tục để giải quyết các rủi ro bảo mật phần mềm, tương lai có vẻ đầy hứa hẹn.