Veracode: DevSecOps đang có tác động tích cực đến bảo mật, nhưng tình trạng bảo mật vẫn còn một chặng đường dài

Ngay cả khi đã tập trung mạnh hơn vào bảo mật trong năm nay, hầu hết các phần mềm vẫn bị xử lý các lỗ hổng bảo mật. Theo báo cáo của SAC) của Veracode, Bộ bảo mật phần mềm (87), 87,5% ứng dụng Java, 92% ứng dụng C ++ và 85,7% ứng dụng .NET chứa ít nhất một lỗ hổng. Ngoài ra, hơn 13 phần trăm ứng dụng chứa ít nhất một lỗ hổng nghiêm trọng.

Dữ liệu SOSS hàng năm của chúng tôi đặt bằng chứng cứng trên bàn để giải thích lý do tại sao rất nhiều chuyên gia bảo mật gặp phải lo lắng khi họ nghĩ về bảo mật ứng dụng (AppSec), báo cáo đã nêu. Không có cách nào để phủ đường: khối lượng lỗ hổng và tỷ lệ phần trăm ứng dụng dễ bị tổn thương vẫn cao đáng kinh ngạc.

Trong số các lỗ hổng bảo mật, lỗ hổng SQL và kịch bản chéo trang (XSS) vẫn phổ biến nhất, phù hợp với các năm trước. Các lỗ hổng SQL tiêm đã được tìm thấy trong khoảng một trong ba ứng dụng, trong khi các lỗ hổng XSS có mặt trong khoảng một nửa số ứng dụng.

Báo cáo cũng tuyên bố rằng tỷ lệ đóng lỗ hổng được cải thiện 12% trong năm nay. Khách hàng đã đóng khoảng 70% các lỗ hổng mà họ tìm thấy trong năm nay. Mặc dù đây vẫn là một cải tiến so với những năm trước, nhưng điều quan trọng là phải cân nhắc rằng chỉ cần kẻ tấn công mất vài giờ hoặc vài ngày để tạo ra các khai thác cho các lỗ hổng mới. Đây là điều rất quan trọng để đo lường cả hai tổ chức có bao nhiêu lỗ hổng đóng cửa mỗi năm và mất bao lâu để họ làm như vậy, theo Ver Verode giải thích trong báo cáo.

Hơn 70 phần trăm sai sót vẫn còn tồn tại một tháng sau khi phát hiện và 55 phần trăm vẫn còn ba tháng sau khi được phát hiện. Ngoài ra, 25 phần trăm các lỗ hổng nghiêm trọng cao và rất cao không được xử lý trong vòng 290 ngày kể từ khi được phát hiện.

Các tổ chức có sáng kiến ​​DevSecOps đang hoạt động đã khắc phục các lỗ hổng cố định nhanh hơn 11,5 lần so với các tổ chức thông thường. Khi phong trào DevOps diễn ra, các tổ chức có đầu óc bảo mật đã nhận ra rằng việc nhúng thiết kế bảo mật và thử nghiệm trực tiếp vào chu trình phân phối phần mềm liên tục của DevOps là điều bắt buộc đối với các doanh nghiệp, ông Ver Verode viết. Đây là nguồn gốc của các nguyên tắc DevSecOps, cung cấp sự cân bằng về tốc độ, tính linh hoạt và quản lý rủi ro cho các tổ chức áp dụng chúng.

Báo cáo cũng cho thấy có một mối tương quan mạnh mẽ giữa tần suất một tổ chức quét các lỗ hổng và mức độ nhanh chóng họ giải quyết các lỗ hổng đó. Có một bước nhảy tương đương về tốc độ sửa chữa với mỗi lần tăng tần số quét cho đến khi các tổ chức đạt 300 lần quét mỗi năm, tại thời điểm đó, tỷ lệ lỗ hổng đã đóng các skyrockets lên gần 100%.

Veracode đưa ra giả thuyết rằng tần số quét lớn hơn cho thấy khả năng cao hơn là các tổ chức đang thực hành DevSecOps.

Kết quả của báo cáo đến từ việc quét hơn 2 nghìn tỷ dòng mã trong khoảng thời gian từ ngày 1 tháng 4 năm 2017 đến ngày 30 tháng 4 năm 2018.

Nguồn bài viết : https://sdtimes.com