Veracode’un yeni “Yazılım Güvenliği Durumu” raporuna göre, şirketler on yıl öncesine kıyasla taranan uygulama sayısını üç katına ve uygulama başına 20 kat daha fazla taramayla uygulama güvenliği testinin temposunu artırdı.
DevSecOps olarak bilinen kültürel değişimin tüm ayırt edici özellikleri olan tarama sıklığını artırmaya, test ve devreye almayı otomatikleştirmeye ve geliştiricileri eğitmeye odaklanma, savunmasız kitaplıkların sayısında üçte iki ve kütüphanelerde üçte bir azalmaya yol açtı. şirket, kusurları düzeltmek için gereken süreyi belirtiyor. Üçüncü taraf kitaplıkların %77’sinin açıklandıktan üç ay sonra hala bilinen bir güvenlik açığı olsa da, bu kitaplıklardaki kusurların yarı ömrü (yani kusurların yarısının düzeltilmesi için geçen süre) üç kat daha hızlıdır.
Veracode’un baş araştırma görevlisi Chris Eng, genel olarak geliştiriciler doğru yönde ilerliyor, ancak daha gidecekleri uzun bir yol olduğunu söylüyor.
“İşler güzel bir yönde ilerliyor, bu da insanların daha fazla dikkat ettiğini gösteriyor. [finding vulnerabilities earlier],” diyor. “Korunmasız kitaplıklarda önemli bir azalmayla birlikte farklı tarama türlerinin benimsenmesinde bir artış görüyoruz – sadece biraz değil, çok küçülüyor.”
Rapor, Veracode’un şirketin veri tabanındaki her uygulamayı incelemesinin ve yılların trendlerini analiz etmesinin sonucudur.
On yıl önce, tipik Veracode müşterisi yılda ortalama iki veya üç tarama yapıyordu, ancak şimdi çoğu geliştirici günlük statik analiz taramaları ve haftalık dinamik analiz taramaları yapıyor. Veracode raporda belirtiyor. Örneğin 2010’da, başvuruların yalnızca %10’u, ortalama başvuru için ayda bir bile değil, en az haftada bir tarandı. Rapora göre 2021’de başvuruların %90’ı haftada bir defadan daha sık taranıyor.
Raporda, “Boru hatlarına güvenlik taramasını içeren sürekli test ve entegrasyon norm haline geliyor ve bunun, kullanıcıların uygulamalarını ne sıklıkla taradığına yansıdığını görebiliyoruz” diyor. “Yaşam döngüsünde sorunları ne kadar erken keşfederseniz, daha büyük bir sorun haline gelmeden önce onları daha hızlı çözme olasılığınız o kadar yüksek olur.”
Çevik geliştirmenin yükselişe geçtiğini ve güvenlik açıkları üzerinde bir etkisi olduğunu öne süren bir başka eğilim de, geliştirme ekiplerinin monolitik programları daha küçük hizmet koleksiyonlarına veya mikro hizmetlere ayırmaya yöneldiği görülüyor. 2021’de, uygulamaların %5’inden daha azı birden çok çerçeve ve dil kullandı; bu, Veracode’a göre, birden çok dili içeren büyük yazılım projelerinin giderek daha nadir hale geldiğini gösteriyor.
Eng, “Uygulamaların zaman içinde her zaman daha da büyüdüğünü düşünüyorsunuz – kodla şişiyor ve insanlar işlevsellikten kurtulmuyor” diyor. “Ancak küçüldüklerini, bu tek dilli uygulamaların geliştiricilerin mikro hizmet mimarilerini benimsediğini gösterdiğini görüyoruz.”
Farklı test türleri, her test tekniğinde bulunan ortak bir sorun olan bilgi sızıntısı dışında, farklı türde güvenlik açıkları bulma eğilimindeydi. Örneğin, statik analiz tarafından keşfedilen en yaygın kusurlar CRLF enjeksiyonu, bilgi sızıntısı ve kriptografik sorunlar iken, dinamik analiz genellikle sunucu yapılandırması, güvenli olmayan bağımlılıklar ve bilgi sızıntısı sorunları buldu. Yazılım bileşimi analizi (SCA), en yaygın olarak yetersiz giriş doğrulama, bilgi sızıntısı ve kapsülleme sorunları keşfetti.
Her dilin de güvenlik açıkları için özel bir eğilimi vardı. Java uygulamaları CRLF ekleme sorunlarına sahipken, Python programlarının en yaygın kusurları kriptografik sorunlarla ilgiliydi ve C++’ın en önemli hataları hata işlemeyi içeriyordu.
Yazılım bileşimi analizi tarafından keşfedilen güvenlik açıklarının giderilmesi en uzun süreyi aldı, çünkü muhtemelen düzeltmelerin proje yürütücülerinden geliştiriciye iletilmesi gerekiyor. Veracode raporda, her bir teknik tarafından keşfedilen kusurların yarısının düzeltilmesinin dinamik analiz için 143 gün, statik analiz için 290 gün ve SCA için 397 gün sürdüğünü belirtiyor. Bununla birlikte, SCA’ya yanıt sonucu aslında önemli bir gelişmedir – 2017’de sorunların yarısının düzeltilmesi üç yıldan fazla sürdü.
Şirket, “Birden fazla araç kullanarak daha fazla taramanın daha hızlı düzeltme süreleri ve daha az güvenlik borcu anlamına geldiğini bildiğimize göre, bu geçiş yalnızca uygulama güvenliğinin geleceği için iyi olarak görülebilir” diyor. “Tarihin sarkacının yekpare uygulamalara ve şelale gelişimine geri dönüp dönmeyeceği henüz görülmedi, ancak bu şu anda olası görünmüyor.”
Açık kaynak kitaplıklar açısından Veracode, en popüler kitaplıkların son beş yılda aynı kalmaya devam ettiğini buldu. Örneğin Java uygulamalarındaki kodun %97’sinden fazlası açık kaynak kitaplıklarındandır. Ancak, Java, JavaScript ve Python’un savunmasız kitaplıklarda önemli bir azalma görmesiyle birlikte, kusurlu kitaplıkların payı son beş yılda azaldı.
Raporda, “Buradaki daha büyük ders, geliştiricilerin denenmiş ve gerçek kitaplıklara bağlı kalacakları ve muhtemelen en son sıcak malları almak için kod tabanlarını yeniden düzenlemeye kalkışmayacaklarıdır” diyor. “Güncellemeler, kitaplıkların kusurları olmadığında yavaş, ancak olduklarında nispeten hızlı gerçekleşti. Açık kaynak geliştiricileri güvenlik kusurlarını düzeltmeye devam ettiği sürece, geliştiriciler bu kitaplıkları kullanmaya devam edecek.”