كشفت شركة Veracode ، المزود العالمي الرائد لحلول اختبار أمان التطبيقات الحديثة ، إن 24٪ من التطبيقات في قطاع التكنولوجيا تحتوي على عيوب أمنية عالية الخطورة ، وهو ما يعني أنها يمكن أن تسبب مشكلة صعبة للتطبيق إذا تم استغلال هذا العيب .
وفي ظل وجود نسبة أعلى من التطبيقات التي يمكن مواجهتها مقارنة بالصناعات الأخرى ، ستستفيد شركات التكنولوجيا من تنفيذ تدريب وممارسات محسنة على منظومة “الترميز الآمن” لفرق التطوير الخاصة بهم.
من جهته قال رئيس قسم الأبحاث في شركة Veracode ، كريس إنغ: “إن منح المبرمجين خبرة عملية وواقعية لما يتطلبه الأمر لاكتشاف واستغلال الخلل في البيانات الكودية – وتأثيره المحتمل على التطبيق – يوفر السياق والفهم لبناء فكرهم الخاص حول أمان البرامج.”
ويضيف إنغ: “وجد بحثنا أن المؤسسات التي أكمل مطوروها درسًا واحدًا فقط في برنامجنا التدريبي العملي لمختبرات الأمان قد أصلحت 50٪ من العيوب أسرع بشهرين من تلك التي لم تحصل على مثل هذا التدريب. “
وقد تم نشر البيانات في تقرير Veracode السنوي المتعلق بحالة أمان البرامج (SoSS) الإصدار 12 ، والذي فحص تحليليا 20 مليون عملية مسح عبر نصف مليون تطبيق تكنولوجي عبر تجارة التجزئة والتصنيع والرعاية الصحية والخدمات المالية والقطاعات الحكومية.
وبشكل عام ، تم الكشف عن أن صناعة التكنولوجيا لديها ثاني أعلى نسبة من التطبيقات التي تحتوي على عيوب أمنية ، بنسبة 79٪ ، مما يجعلها أفضل بشكل هامشي من القطاع العام بنسبة 82٪.
ويقع قطاع التكنولوجيا في منتصف المجموعة المتكاملة عندما يتعلق الأمر بنسبة العيوب التي تم إصلاحها.
شركات التكنولوجيا سريعة نسبيًا في إصلاح عيوب أمان البرامج
وبنظرة عامة وبصورة إيجابية ، عندما تكتشف شركات التكنولوجيا عيوبًا في تطبيقاتها ، فإنها تكون سريعة نسبيًا للوصول إلى منتصف الطريق من العلاج.
في الواقع ، يفتخر القطاع التقني بأوقات إصلاح لافتة في الصناعة المتعلقة بالعيوب المكتشفة ، وهو ما يتم من خلال اختبار أمان التحليل الثابت أو ما يعرف ب (SAST) وتحليل تكوين البرامج (SCA) ، وفي حين أن هذا إنجاز جدير بالثناء ، لا تزال الصناعة تستغرق ما يصل إلى عاما كاملا أو 363 يومًا لإصلاح ما نسبته 50٪ من العيوب ، مما يشير إلى أنه لا يزال هناك إمكانية كبيرة لتحسين هذا الأداء.
وأضاف إنغ: “يمثل برنامج Log4j إنذارا للعديد من المنظمات ، وقد تبع ذلك إجراء حكومي في شكل توجيه من مكتب الإدارة والميزانية (OMB) وقانون المرونة الإلكترونية الأوروبية ، وكلاهما يركز على سلسلة التوريد.”
ويضيف إنغ: “من أجل تحسين الأداء في العام المقبل ، لا ينبغي لشركات التكنولوجيا النظر في الاستراتيجيات التي تساعد المطورين على تقليل معدل العيوب التي يتم إدخالها في التعليمات البرمجية فقط ، ولكن أيضًا التركيز بشكل أكبر على أتمتة اختبار الأمان في خط أنابيب التكامل المستمر / التسليم المستمر (CI / CD) إلى زيادة الكفاءات. “
يعد تكوين الخادم والتبعيات غير الآمنة وتسرب المعلومات أكثر أنواع العيوب شيوعًا التي اكتشفها التحليل الديناميكي لتطبيقات التكنولوجيا ، والتي تتبع على نطاق واسع نمطًا مشابهًا للصناعات الأخرى.
وعلى العكس من ذلك ، يُظهر القطاع أعلى تفاوت من متوسط الصناعة لقضايا التشفير وتسرب المعلومات ، ربما يشير إلى أن المطورين في صناعة التكنولوجيا أكثر دراية بتحديات حماية البيانات.