Yeni bir araştırmaya göre, neredeyse her uygulamada güvenliği etkileyen en az bir güvenlik açığı veya yanlış yapılandırma bulunuyor ve uygulama testlerinin dörtte birinde yüksek veya kritik düzeyde ciddi bir güvenlik açığı bulundu.
Yazılım ve donanım araçları holdingi Synopsys’in bugün yayınlanan yeni Yazılım Güvenlik Açıkları Anlık Görüntüsü 2022 raporundaki bulgulara göre, zayıf SSL ve TLS yapılandırması, eksik İçerik Güvenliği Politikası (CSP) başlığı ve sunucu banner’larından bilgi sızıntısı, güvenlik etkileri olan yazılım sorunları listesinin başında yer alıyor. . Hatalı yapılandırmaların ve güvenlik açıklarının çoğunun orta veya daha düşük düzeyde olduğu kabul edilirken, en az %25’i yüksek veya kritik düzeyde ciddi olarak derecelendirilir.
Synopsys’te Yazılım Bütünlüğü Grubu üyesi olan Ray Kelly, yapılandırma sorunları genellikle daha az ciddi bir kovaya konur, ancak hem yapılandırma hem de kodlama sorunları eşit derecede risklidir, diyor.
“Bu gerçekten sadece şunu gösteriyor, [while] kuruluşlar, kodlama güvenlik açıklarının sayısını azaltmak için statik taramalar yaparak iyi bir iş çıkarıyor olabilir, daha zor olabileceği için yapılandırmayı hesaba katmıyorlar” diyor. “Maalesef, statik uygulama güvenlik testi (SAST) taramaları gerçekleştiremiyor. yapılandırma kontrolleri [they have] kodun konuşlandırılacağı üretim ortamı hakkında bilgi yok.”
Veriler, yazılımı güvenlik açıkları ve yanlış yapılandırmalara karşı analiz etmek için birden fazla araç kullanmanın faydalarını tartışıyor.
Örneğin, sızma testleri zayıf SSL/TLS yapılandırma sorunlarının %77’sini tespit ederken, dinamik uygulama güvenlik testi (DAST) testlerin %81’inde sorunu tespit etti. Her iki teknoloji ve mobil uygulama güvenlik testi (MAST), sorunun testlerin %82’sinde keşfedilmesine yol açtı, Synopsys raporuna göre.
Diğer uygulama güvenliği firmaları da benzer sonuçları belgeledi. Örneğin, son on yılda, Veracode Şubat ayındaki “Yazılım Güvenliğinin Durumu” raporunda, üç kat daha fazla uygulamanın tarandığını ve her birinin 20 kat daha sık tarandığını belirtti. Bu rapor, üçüncü taraf kitaplıklarının %77’sinin, sorunun bildirilmesinden üç ay sonra açıklanan bir güvenlik açığını hâlâ ortadan kaldıramadığını tespit etse de, yama kodu üç kat daha hızlı uygulandı.
Veracode, dinamik ve statik taramayı birlikte kullanan yazılım firmalarının kusurların yarısını 24 gün daha hızlı düzelttiklerini belirtti.
“Ardışık hatlarda güvenlik taramasını içeren sürekli test ve entegrasyon norm haline geliyor” firma o sırada bir blog yazısında belirtti.
Sadece SAST Değil, Sadece DAST Değil
Synopsys, her biri benzer suçlulara sahip çeşitli farklı testlerden veriler yayınladı. Örneğin, Güvenli Yuva Katmanı (SSL) ve Aktarım Katmanı Güvenliği (TLS) gibi zayıf şifreleme teknolojisi yapılandırmaları, statik, dinamik ve mobil uygulama güvenlik testlerinde listelerin başında yer aldı.
Yine de, sorunlar listelerde daha da farklılaşmaya başlıyor. Sızma testleri, uygulamaların dörtte birinde zayıf parola ilkelerini ve %22’sinde siteler arası komut dosyası çalıştırmayı tespit ederken, DAST, testlerin %38’inde yeterli oturum zaman aşımına uğramayan uygulamaları ve testlerin %30’unda tıklama hırsızlığına karşı savunmasız olanları belirledi.
Synopsys’den Kelly, statik ve dinamik testlerin yanı sıra yazılım kompozisyon analizinin (SCA) hepsinin avantajları olduğunu ve potansiyel yanlış yapılandırmaları ve güvenlik açıklarını tespit etme şansının en yüksek olması için birlikte kullanılması gerektiğini söylüyor.
“Bütünsel bir yaklaşımın zaman, kaynak ve para gerektirdiğini söyledikten sonra, bu pek çok kuruluş için mümkün olmayabilir” diyor. “Güvenliği sürece dahil etmek için zaman ayırmak, türü ne olursa olsun mümkün olduğu kadar çok güvenlik açığının bulunmasına ve ortadan kaldırılmasına yardımcı olabilir, böylece güvenlik proaktif olur ve risk azalır.”
Genel olarak şirket, 2.700’den fazla programda yaklaşık 4.400 testten veri topladı. Siteler arası betik çalıştırma, keşfedilen güvenlik açıklarının %22’sini oluşturan en yüksek riskli güvenlik açığı olurken, SQL enjeksiyonu %4’lük payla en kritik güvenlik açığı kategorisi oldu.
Yazılım Tedarik Zinciri Tehlikeleri
Kod tabanlarının yaklaşık %80’ini oluşturan açık kaynaklı yazılımlarla, kod tabanlarının %81’inin en az bir güvenlik açığına sahip olması ve diğer %85’inin dört yıl eskimiş bir açık kaynaklı bileşene sahip olması şaşırtıcı değildir.
Yine de Synopsys, bu endişelere rağmen, tedarik zinciri güvenliğindeki ve açık kaynaklı yazılım bileşenlerindeki güvenlik açıklarının sorunların yalnızca dörtte birini oluşturduğunu tespit etti. Rapora göre, Güvenlik Açıkları Kullanımdaki Üçüncü Taraf Kitaplıklar kategorisi, sızma testlerinin %21’inde ve statik analiz testlerinin %27’sinde ortaya çıkarıldı.
Kelly, yazılım bileşenlerinde beklenenden daha düşük güvenlik açıklarının olmasının bir nedeninin yazılım kompozisyon analizinin (SCA) daha yaygın bir şekilde kullanılmasından kaynaklanabileceğini söylüyor.
“Bu tür sorunlar, yazılım geliştirme yaşam döngüsünün (SDLC) geliştirme ve DevOps aşamaları gibi erken aşamalarında bulunabilir ve bu da onu üretime geçirenlerin sayısını azaltır” diyor.
