Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.
Kohokohdat
Tämä blogikirjoitus on yhteenveto siitä, mikä mielestämme on eniten huomionarvoista. Latauslinkki koko raporttiin löytyy tämän kirjoituksen lopusta.
Keskitymme näihin asioihin:
- Mikropalvelut
- Kolmansien osapuolien kirjastot
- Suurimmat haavoittuvuuskategoriat
1. Mikropalvelut
Miten mikropalvelut määritellään? Ne ovat kokoelmia löyhästi yhteenkytketyistä sovelluksista, joissa on yleensä pieni koodikanta ja jotka kommunikoivat rajapintojen kautta. Mikropalveluiden etu syntyy siitä, että sovelluksen eri osien käsittely on helpompaa, mikäli yhden osan vaihtaminen ei todennäköisesti vaikuta muihin palasiin.
Entä kuinka voimme nähdä tämän heijastuvan Veracode-käyttäjien keskuudessa? No, odotamme sovellusten käyttävän yhä enemmän yhtä kieltä ja tulemaan entistä pienikokoisimmiksi.
Vuonna 2018 noin 20 prosenttia sovelluksista sisälsi useita kieliä. Tänä vuonna alle 5 prosenttia sovelluksista käytti useita kieliä, mikä viittaa käänteeseen kohti pienempiä, yksikielisiä sovelluksia tai mikropalveluita.
2. Kolmansien osapuolien kirjastot
Kolmansien osapuolien kirjastojen puutteista 77 % pysyy korjaamattomina kolmen kuukauden kuluttua. Positiivista on se, että kolmansien osapuolten virheiden korjaamiseen kuluva aika on parantunut huomattavasti. Vuonna 2017 kesti yli kolme vuotta päästä 50 % (half-life) suljettuun pisteeseen — ja nyt se kestää vain hieman yli vuoden.
Javalla, JavaScriptillä ja Pythonilla on selkeät trendit — ja tämä trendi on erittäin hyvä, koska se laskee jyrkästi. Vuonna 2017 lähes 35 prosentissa (keskimäärin) käytetyistä kirjastoista oli jokin tunnettu puute. Viime vuosina se on laskenut lähes 10 prosenttiin. JavaScript on pudonnut noin 10 prosentista alle 4 prosenttiin, Python noin 25 prosentista lähes 10 prosenttiin ja Go 7 prosentista 4 prosenttiin.
3. Suurimmat haavoittuvuuskategoriat
Eilisen puutteet ovat (vielä) tämän päivän puutteita. Toki kielten välillä on eroja, ja yleisyys voi vaihdella. Mutta yleisesti ottaen tekniset viat eivät poistu, ja kaikki havaitsemamme muutokset kehittyvät hitaasti. Poistimme OWASP Top 10:ssä ja CWE/SANS Top 25:ssä luetellut puutteet sekä ne, jotka on luokiteltu kriittisyydeltään korkeaksi (high) tai sitä korkeammaksi. Näitä ajan mittaan tarkasti tarkastellessa voidaan huomata joitain huippuja ja laaksoja.
Nyt haluamme Sinun kuitenkin vetäytyvän hieman taaksepäin ja ehkä siristävän silmiäsi, jotta näet näiden kaavioiden yleisen suuntauksen. Huomaat, että vaikka viivat saattavat pomppia ympäriinsä, ne kaikki vähenevät hitaasti.
Lataa koko raportti:
Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa
Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.
Veracode State of Software Security 12
Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.
Veracode SoSS 11: Open Source Edition
Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.
Veracode Webinar – Security scanning in pipelines
Tämä on webinaaritallenne 12.5.2021, jossa Julian (Veracode) ja Thomas (Mint Security) näyttävät demoja ja esittelevät ajatuksia Veracoden käyttämisestä CI/CD-putkissa.
Veracode SOSS 11 – sovellusten yleisimmät tietoturvapuutteet
Veracoden vuosittaisessa tietoturvaskannausten tilastoraportissa, State of the Software Security (SOSS), listataan ja analysoidaan sovellusten yleisimpiä tietoturvapuutteita. Tarkastelun tavoitteena on ensisijaisesti auttaa tiimejä löytämään virheet ja puutteet; ja korjaamaan ne.
Veracode Security Labs Demo
Saku talks about Veracode Security Labs and gives a hands-on demo on three excercises.
Veracode – State of Software Security 11
Veracode julkaisi äskettäin vuosittaisen raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat, mikä niitä
