• Veracode SoSS 11: Open Source Edition
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.

Mitkä ovat sitten tärkeimmät havainnot? Avoimen lähdekoodin kirjastot ovat keskeinen osa nykyaikaista sovelluskehitystä ja ne antavat kehittäjille mahdollisuuden tehdä sovelluksia nopeammin ja tehokkaammin. Raportin tärkeä nosto on, että kirjastot eivät ole staattisia, vaan niiden suosio ja käyttö muuttuu ja kehittyy sovelluskehityksen trendien mukana. Jos sovelluskehittäjät eivät seuraa ja pysy muutosten mukana, saattaa se avata oven kyberrikollisille.

Vain hieman yli puolet kehittäjistä kertoo, että heillä on prosessi kolmannen osapuolen kirjastojen valintaan

Tämän vuoden raportissa on myös tulokset kyselystä, jonka Veracode teki asiakkailleen. Kyselyn tarkoituksena oli selvittää miten yritykset käyttävät kolmannen osapuolen kirjastoja. Vastaajista 52 % kertoi, että heillä on menettelytapa sovelluskirjastojen arviointiin ja valintaan. Tämän kai voidaan katsoa olevan tavallaan odotettua, kun vastaajina on yrityksiä, jotka käyttävät Veracoden palvelua sovellustensa tietoturvan skannaukseen. Huonompi uutinen on sen sijaan se, että peräti 29 % vastaajista ei tiennyt onko heillä prosessia, lainkaan ja 19 % ilmoitti, ettei heillä ole prossia sovelluskirjastojen valintaan. Veracoden raportissa todetaan, että tämä saattaa olla merkki sovellushallinnan puutteista erityisesti, jos esimerkiksi suuria kehitystiimejä on hajautettu joko maantieteellisesti tai toiminnallisesti.

Kehittäjät kyllä voivat toimia nopeasti, jos heille annetaan oikea tietoa ajoissa

Valtaosa kehittäjistä kokee tietoturvan tärkeäksi, mutta miten on selitettävissä joidenkin kirjastojen hidas korjaaminen. Veracoden mukaan skannauksista kerätty data osoittaa selkeästi, että kun kehittäjillä on oikea tieto riittävän ajoissa, he myös toivat nopeasti. Raportissa todetaan, että 17 % haavoittuvuuksia sisältäneistä kirjastoista korjattiin tunnin kuluessa tietoturvaskannaukset. kun taas 25 % korjattiin viikon kuluessa.

Suosituimpien Java-kirjastojen asema pysyi muttumattomana, mutta Swift-kirjastojen järjestys koki iso muutoksia

Veracode SoSS 11: Open Source Edition
Valtaosa kehittäjistä kokee tietoturvan tärkeäksi, mutta miten on selitettävissä joidenkin kirjastojen hidas korjaaminen. Veracoden mukaan skannauksista kerätty data osoittaa selkeästi, että kun kehittäjillä on oikea tieto riittävän ajoissa, he myös toivat nopeasti. Raportissa todetaan, että 17 % haavoittuvuuksia sisältäneistä kirjastoista korjattiin tunnin kuluessa tietoturvaskannaukset. kun taas 25 % korjattiin viikon kuluessa.

Jackson-databind on edelleen sekä suosittu että sisältää haavoittuvuuksia, kun taas Twistedin suosio putosi

Veracode SoSS 11: Open Source Edition
Kun raportissa otetaan tarkastelukulmaksi eniten haavoittuvuuksia sisältävät kirjastot, esille nousevat esiin Java-kirjastot. Jackson-databind oli sekä suosittu että sisälsi haavoittuvuuksia. Sen sijaan aiemmin suositun Python-kirjasto Twistedin suosio on pudonnut rajusti. Toisaalta tämä saattaa johtua Pythonin ominaisuuksien ja toiminnallisuuden kehityksestä. Toisaalta Twistediin on liitetty seitsemän CVE-löydöstä sen olemassaoloaikana.

Suurin osa kirjastojen haavoittuvuuksista voidaan helposti korjata pienellä päivityksellä, mutta jostain syystä eräitä kirjastoja ei päivitetä koskaan

Veracode muistuttaa, että useimmat haavoittuvuudet voidaan yleensä korjata kirjaston päivityksellä. Veracoden mukaan skannausten perusteella kerätty data osoittaa, että 92 % tietoturvaongelmista voidaan korjata päivityksellä ja 69 % päivityksistä on vain pieni version tason nosto.

Käytännössä kehittäjät voisivat siis päivittää kirjastot nopeasti ja tehokkaasti, mutta sama data osoittaa, että joissakin tapauksissa kehitystyö pysähtyy, kun pitäisi päivittää kirjasto, josta on löydetty haavoittuvuus. 

Veracode SoSS 11: Open Source Edition

Kuva 7 osoittaa, että peräti 79 % kolmannen osapuolenkirjastoista ei päivitetä sen jälkeen, kun ne on otettu mukaan sovelluskoodiin. Menettely nostaa kirjastojen riskiä joutua hyökkäyksen kohteeksi, jos niissä on tai myöhemmin havaitaan vakavia haavoittuvuuksia.

Veracode SoSS 11: Open Source Edition

Kuvasta 8 nähdään yhtä huolestuttava ilmiö: 73 % kirjastoista ei päivitetä koskaan sen jälkeen, kun ne on otettu sovellukseen.

Kuitenkin lähes 17 prosenttia haavoittuvuuksia sisältävistä kirjastoista korjataan tunnin sisällä skannauksesta

Raportin postiivinen uutinen on, että lähes 17 prosenttia haavoittuvuuksia sisältäneistä kirjastoista korjataan tunnin kuluessa skannauksesta. Vercode toteaakin, että tämä tukee heidän näkemystään, jonka mukaan kehittäjät kyllä korjaavat virheitä, kuhan heille annetaan oikeaa tietoa oikeaan aikaan.

Veracode SoSS 11: Open Source Edition

Kun kaikki työt tuntuvat olevan prioriteetissa aina kärjessä, skannauksen antaman arvokkaan tiedon saaminen ajoissa antaa mahdollisuuden tehdä nopeita päätöksiä korjauksista ja töiden priorisoinneista.

Oikean tiedon ja resurssien puute vaikuttaa korjausaikaan

Virheet ja niiden korjaamisen priorisointi eivät ainoita haasteita. Veracoden kyselyn positiivinen yllätys oli, että kehittäjät kertoivat, että heillä kyllä oli riittävä osaaminen korjata kolmannen osapuolen kirjastoissa olevat virheet. Sen sijaan ongelmana on, ettei heillä on tarpeeksi tietoa millaisia vaikutuksia haavoittuvuuksia sisältävä kirjasto aiheuttaa heidän sovellukseensa sekä kuinka paljon resursseja tarvitaan haavoittuvuuksien korjaamiseen. Kehittäjien vastausten perusteella raportissa todetaan, että mikäli kriittinen tieto ja välineet puuttuvat, korjaamiseen menee lähes 14 kertainen aika.
Veracode SoSS 11: Open Source Edition
Veracode toteaa, etteivät he yllättyneet kehittäjien kohtaamista esteistä, mutta niiden laajuus antaa aihetta huoleen. Kuva 19 kertoo asian selvästi: jos kehittäjiltä puuttuu riittävät resurssit priorisointiin ja virheiden korjaamiseen, aikaa kuluu ja kirjastojen sisältämien riskien uhka nousee.

Avoimen lähdekoodin kirjastojen päivitysketjujen sisältämiin riskeihin pitää kiinnittää huomiota

Kirjaston päivitys uusimpaan versioon ei ole välttämättä kaikki mitä niiden tietoturvan varmistamiseksi tarvitaan. Päivitys saattaa sisältää ketjuja, joiden mukana tuleekin uusia haavoittuvuuksia tai lisäpäivityksiä.
Veracode SoSS 11: Open Source Edition
Kuvan 20 näyttää, että eteen voi tulla tilanne, jossa päivitys itse asiassa tuokin mukanaan alemman tason kirjaston kuin aiemmin käytetty. Positiivisesti yllättävä tulos oli, että pitemmät ketjut eivät välttämättä johda umpikujaan. Selvitys osoitti, että enemmän kuin kaksi vaihetta sisältävät ketjut yleensä johtivat korjattuun versioon. Raportin mukaan tämä tarkoittaa, että huolella ja ajatuksella selvitetyt riippuvuudet johtavat lopulta turvallisempaan sovellukseen.

Lopuksi

Lopuksi Veracode toteaa, että vaikka kirjaston suosio ja dynamiikka muuttuvat vuosi vuodelta, on selvää, että kehittäjät jatkavat niiden kirjastojen käyttöä, joista heille on hyötyä. Usein kiihkeässä kehitystyössä sille on perustelunsa, mutta välillä kannattaa pysähtyä katsoa mitä on tekemässä. Eli vaikka käyttökelpoinen ja kätevä kirjasto olisikin ollut hyvä viime vuona, siinä saattaa olla haavoittuvuus tänä vuonna. Muutosten seuranta ja vuoropuhelu tietoturvasta vastaavien kanssa antaa usein riittävästi tietoa virheiden korjaamiseen.
Veracode SoSS 11: Open Source Edition
Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja

Lue lisää »
Veracode container scanning
sdlc
Saku Tuominen

Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa

Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.

Lue lisää »
06.03.2023
Veracode State of Software Security 12
Veracode
Thomas

Veracode State of Software Security 12

Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.

Lue lisää »
18.02.2022
Veracode SoSS 11: Open Source Edition
Veracode
Thomas

Veracode SoSS 11: Open Source Edition

Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.

Lue lisää »
16.08.2021
State of software security 11 is here
Veracode
Tapio Särkelä

Veracode – State of Software Security 11

Veracode julkaisi äskettäin vuosittaisen raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat, mikä niitä

Lue lisää »
11.12.2020
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.