Tapio Särkelä

Tapio Särkelä

Helping software companies to make Secure DevOps.

Veracode julkaisi äskettäin vuosittaisen raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat, mikä niitä aiheuttaa ja miten etsiä niitä mahdollisiman tehokkaasti.

Edellisessä raportissa tarkasteltiin miten sovellusten tietoturva on muuttunut kymmenen julkaisuvuoden aikana. Uudessa raportissa puolestaan katsotaan tulevaisuuteen ja mihin sovellusten tietoturva on menossa. Veracode toteaa, ettei sen tarkoituksena ei ole suinkaan päättää onko tietoturva menossa huonompaan tai parempaan suuntaan, vaan katsoa millaisia vaikutuksia kehittäjien ja koodaajien päätöksillä on sovellusten tietoturvaan.

0
päivää

Tiimillä jolla on ”heikkoja” tietoturvakäytäntöjä – satunnaisia skannauksia silloin tällöin – ja tietoturvan kannalta haastava sovellus voi kuluttaa valtavasti aikaa tietoturvavelan puolittamiseen. 

0
päivää

Tiimillä jolla on hyviä tietoturvakäytäntöjä ja vastaava sovellus kuluttaa vain puolet ajasta tietoturvavelan puolittamiseen. 

Suurimmassa osassa sovelluksia on jokin haavoittuvuus

Veracoden yhteenveto 130.000 sovelluksen skannauksista osoittaa, että 76 % oli ainakin yksi haavoittuvuus. Hyvä uutinen on puolestaan se, että suurin osa haavoittuvuuksista ei ole vakavia eli vain 24 prosentissa oli vakava tai erittäin haavoittuvuus. Huono uutinen on tosin edelleen se, että virheiden korjaamiseen ei edelleenkään panosteta – puolet haavoittuvuuksia oli edelleen korjaamatta kuuden kuukauden jälkeen ensimmäisestä havainnosta.

Haavoittuvuuksia
0%
Vakavia
0%

Avoimen lähdekoodin kirjastot luovat uutta tilaa hyökkäyksille

Sovelluskehityksessä käytetään yhä enemmän avoimen lähdekoodin kirjastoja. Hyvin usein suuin osa sovelluskoodista onkin peräisin avoimen lähdekoodin kirjastoista omaan ns ”first-party” -koodiin verrattuna. Tämän vuoden skannauksissa Veracodella havaittiin, että esim. tyypillisessä Java -sovelluksessa peräti 97 prosenttia oli ns. kolmannen osapuolen koodia. Skannausten tulosten analyysi osoitti, että kolmasosassa sovelluksia ns. kolmannen osapuolen koodissa oli enemmän haavoittuvuuksia kuin natiivikoodissa.

Sovelluskirjastojen haavoittuvuuksia käsitellään enemmän alla olevassa blogissa. 

Sovellusten tietoturvaa voi vaalia, vaikka lähtökohdat eivät olisikaan aivan ideaalisia

Raportista voidaan myös nostaa esille miten sovellusten tietoturvaa voidaan toteuttaa, vaikka lähtökohdat, kuten kertynyt korjausvelka tai sovelluksen valtava koko, asettavat omat haasteensa kehittäjille ja koodareille. Esimerkiksi miten usein skannataan tai miten tietoturvallinen sovelluskehitys on integroitu osaksi sovelluskehitysprosessia.

Veracoden tutkijoiden miellyttäväksi yllätykseksi aineistosta paljastui muutamia lupaavia toimintoja, miten sovellusten tietoturvaa voi todellakin vaalia, vaikka lähtökohdat olisivat kenties muutoin haasteelliset. Kehitystiimeillä, jotka olivat automatisoineet skannauksen integroimalla palvelun kehitysalustaan, korjasivat havaintonsa huomattavasti nopeammin (17,5 päivää) kuin tutkimusaineistossa keskimäärin (= ajanjakso, jonka aikana korjattiin puolet havainnoista).

Katso lisää:  Veracoden infograafiikka

SoSS 11 - toimenpiteet vaikuttaa tuloksiin.

Yleisimmät haavoittuvuudet sovelluskielen mukaan

Tänä vuonna Veracode selvitti myös millainen vaikutus sovelluskielellä on tietoturvaan. Mielenkiintoinen havainto oli, että yleissin haavoituvuus vaihteli eri ohjelmointikielillä. Yleisin haavoittuvuus .Netillä tehdyllä sovelluksilla oli tiedon vuotaminen. PHP:llä se oli puolestaan cross-site-scripting ja java-sovelluksilla CRLF-injektio.

Katso lisää: Veracoden infografiikka

SoSS 11 - heatmap of programming languages
Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja

Lue lisää »
Veracode container scanning
sdlc
Saku Tuominen

Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa

Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.

Lue lisää »
Veracode State of Software Security 12
Veracode
Thomas

Veracode State of Software Security 12

Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.

Lue lisää »
Veracode SoSS 11: Open Source Edition
Veracode
Thomas

Veracode SoSS 11: Open Source Edition

Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

Helping software companies to make Secure DevOps.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.