Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Tämän blogikirjoituksen lähteenä on käytetty https://www.veracode.com/blog/research/announcing-10th-volume-our-state-software-security-report

Veracode saavutti tällä viikolla merkittävän virstanpylvään sovellusten tietoturvan saralla kun se julkaisi 10. State of Software Security (SOSS) -raportin. 10 SOSS-raporttia ja 80 000+ sovelluksen skannausta myöhemmin, Veracodelle on kertynyt paljon tietoa ja oivaltavia näkemyksiä sovellusten tietoturvan trendeistä ja parhaista käytännöistä. Uudessa raportissa on katsottu sovellusten tietoturvan kuvaa viimeisen 10 vuoden kuluessa ja siihen on koostettu huhtikuun 2018 ja maaliskuun 2019 välisenä aikana skannausten yhteydessä kerättyjä tietoja.

 

SOSS X statistics

Mitä enemmän asiat muuttuvat, sitä enemmän ne pysyvät samana

Raportin mukaan tarkastelujakson aikana näkyy positiivista kehitystä, mutta edelleen on pitkä tie kuljettavana. Samat haavoittuvuudet esiintyvät edelleen kymmenen yleisimmän listalla. Ensimmäisessä skannauksessa vähintään yhden haavoittuvuuden sisältävien sovellusten määrä on pysynyt tasaisesti korkealla tasolla viimeisen 10 vuoden aikana. Tietoturvallisen koodauksen koulutus on selvästi edelleen kriittinen osa kaikkea tietoturvan kehitystä.

SOSS X security debt

On siirrytty virheiden löytämiseen sijaan niiden korjaamiseen

Veracoden palveluista vastaava johtaja Pejman Pourmousa on tiivistänyt sovellusten tietoturvan toteamalla, että pelkkä skannaus ei johda turvalliseen sovelluskoodiin. Tämä periaate näyttää toteutuvan myös käytännössä. Kun tutkimusjakson tietoja verrataan viimeisen 10 vuoden tietoihin, käy ilmi, että kehittäjät keskittyvät korjaamaan löydettyjä turvallisuusongelmia ja -virheitä enemmän kuin koskaan aiemmin. Esimerkiksi puolella sovelluksista virheiden määrä laski (netto) tutkimusjakson aikana. 20 prosentilla sovelluksista ei ollut puutteita lainkaan tai niiden tila oli pysynyt ennallaan. Tämä tarkoittaa käytännössä, että 70% kehitystiimeistä on pitänyt vähintään korjaustahtinsa ennallaan tai jopa parantanut virheiden korjaamista.

SOSS X frequent scanners

Turvavelka kasvaa

Vaikka korjaamista on parannettu, suurin osa organisaatioista priorisoi vain uusimmat turvallisuusongelmat, kun taas vanhemmat jäävät vähemmälle huomiolle. Tätä kertynyttä korjausvelan havainnollistetaan SOSS-tiedoissa,  ja se on nostettu yhdeksi kipupisteeksi Veracoden asiakkaiden kanssa käymissä keskusteluissa. Toki tämän vuoden raportti tarjoaa myös joitain vakuuttavia todisteita toimenpiteistä, miten organisaatiot voivat vähentäneet tätä velkaa. Erityisen paljon skannaavilla organisaatioilla on viisi kertaa vähemmän turvavelkaa kuin harvoin skannaavilla.

Kielellä on merkitystä

Numerot sen osoittavat. 

SOSS X programming languages matter

Yhteenveto raportista

SOSS X Infographic
Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio VERACODE on ketterän sovelluskehityksen tietoturvaratkaisu Veracoden alustalla voidaan arvioida ja parantaa sovellusten tietoturvallisuutta

Lue lisää »
Veracode SCA Header
sdlc

Veracode SCA – uudempi ja parempi

Veracode osti taannoin SourceClearin. Yhdistämällä ohjelmiston koostumuksen analyysin tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.

Lue lisää »
Veracode open source risk
sdlc

Ymmärrä avoimen lähdekoodin riskit

Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.