Veracode julkaisi äskettäin vuosittaisin raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat,, mikä niitä aiheuttaa ja miten etsiä niitä mahdollisiman tehokkaasti.
Edellisessä raportissa tarkasteltiin miten sovellusten tietoturva on muuttunut kymmenen julkaisuvuoden aikana. Uudessa raportissa puolestaan katsotaan tulevaisuuteen ja mihin sovellusten tietoturva on menossa. Veracoden tarkoituksena ei ole suinkaan päättää onko tietoturva menossa huonompaan tai parempaan suuntaan, vaan katsoa millaisia vaikutuksia kehittäjien ja koodaajien päätöksillä on sovellusten tietoturvaan.
Tiimillä jolla on ”heikkoja” tietoturvakäytäntöjä – satunnaisia skannauksia silloin tällöin – ja tietoturvan kannalta haastava sovellus voi kuluttaa valtavasti aikaa tietoturvavelan puolittamiseen.
Tiimillä jolla on hyviä tietoturvakäytäntöjä ja vastaava sovellus kuluttaa vain puolet ajasta tietoturvavelan puolittamiseen.
Suurimmassa osassa sovelluksia on jokin haavoittuvuus
Veracoden yhteenveto 130.000 sovelluksen skannauksista osoittaa, että 76 % oli ainakin yksi haavoittuvuus. Hyvä uutinen on puolestaan se, että suurin osa haavoittuvuuksista ei ole vakavia eli vain 24 prosentissa oli vakava tai erittäin haavoittuvuus. Huono uutinen on tosin edelleen se, että virheiden korjaamiseen ei edelleenkään panosta – puolet haavoittuvuuksia oli edelleen korjaamatta kuuden kuukauden jälkeen ensimmäisestä havainnosta.
Avoimen lähdekoodin kirjastot luovat uutta tilaa hyökkäyksille
Sovelluskehityksessä käytetään yhä enemmän avoimen lähdekoodin kirjastoja. Usein suurin osa koodista on avoimen lähdekoodin kirjastoista kuin ns. omaa ”frrst-party” -koodia. Tänä vuonna Veracode havaitsi, että esim. tyypillisestä Java -sovelluksesta peräti 97 prosenttia oli ns. kolmannen osapuolen koodia. Skannausten tulosten analyysi osoitti, että kolmasosassa sovelluksia ns. kolmannen osapulen koodissa oli enemmän haavoittuvuuskia kuin natiivikoodissa.
Sovelluskirjastojen haavoittuvuuksia käsitellään enemmän alla olevassa blogissa.
Sovellusten tietoturvaa voi vaalia, vaikka lähtökohdat eivät olisikaan aivan ideaalisia
Raportista voidaan myös nostaa esille miten sovellusten tietoturvaa voidaan toteuttaa, vaikka lähtökohdat, kuten kertynyt korjausvelka tai sovelluksen valtava koko, asettavat omat haasteensa kehittäjille ja koodareille. Esimerkiksi miten usein skannataan tai miten tietoturvallinen sovelluskehitys on integroitu osaksi sovelluskehitysprosessia.
Veracoden tutkijoiden miellyttäväksi yllätykseksi aineistosta paljastui muutamia lupaavia toimintoja, miten sovellusten tietoturvaa voi todellakin vaalia, vaikka lähtökohdat olisivat kenties muutoin haasteelliset. Kehitystiimeillä, jotka olivat automatisoineet skannauksen integroimalla palvelun kehitysalustaan, korjasivat havaintonsa huomattavasti nopeammin (17,5 päivää) kuin tutkimusaineistossa keskimäärin (= ajanjakso, jonka aikana korjattiin puolet havainnoista).
Katso lisää: Veracoden infograafiikka
Yleisimmät haavoittuvuudet sovelluskielen mukaan
Tänä vuonna Veracode selvitti myös millainen vaikutus sovelluskielellä on tietoturvaan. Mielenkiintoinen havainto oli, että yleissin haavoituvuus vaihteli eri ohjelmointikielillä. Yleisin haavoittuvuus .Netillä tehdyllä sovelluksilla oli tiedon vuotaminen. PHP:llä se oli puolestaan cross-site-scripting ja java-sovelluksilla CRLF-injektio.
Katso lisää : yleisimmät haavoittuvuudet ohjelmointikielen mukaan
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Veracode – State of Software Security 11
Veracode julkaisi äskettäin vuosittaisin raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat,, mikä niitä
Valtaosa sovelluskehittäjistä käyttää sovelluskirjastoja – alle puolet selvillä kirjastoissa piilevistä haavoittuvuuksista
Suurin osa nykyaikaisesta sovelluskehityksestä perustuu avoimen lähdekooodin kirjastoihin. Veracoden ESG-tutkimusyhtiöllä teettämän tutkimuksen mukaan yli 96 prosenttia yrityksistä ja organisaatioista käyttää avoimen lähdekoodin kirjastoja sovelluskehityksessään.
Skannasimme Koronavilkun – tässä havaintomme
Me Mint Securityssä halusimme tutustua Koronavilkku-sovellukseen ja kantaa kortemme kekoon. Koronavilkku osoittautui tietoturvaltaan hyvin korkeatasoiseksi. Merkittäviä turvallisuuteen liittyviä havaintoja emme todenneet.
Veracode Security Labs – Community Edition
Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen.
