Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.

Kohokohdat

Tämä blogikirjoitus on yhteenveto siitä, mikä mielestämme on eniten huomionarvoista. Latauslinkki koko raporttiin löytyy tämän kirjoituksen lopusta.

Keskitymme näihin asioihin:

  • Mikropalvelut
  • Kolmansien osapuolien kirjastot
  • Suurimmat haavoittuvuuskategoriat

1. Mikropalvelut

Miten mikropalvelut määritellään? Ne ovat kokoelmia löyhästi yhteenkytketyistä sovelluksista, joissa on yleensä pieni koodikanta ja jotka kommunikoivat rajapintojen kautta. Mikropalveluiden etu syntyy siitä, että sovelluksen eri osien käsittely on helpompaa, mikäli yhden osan vaihtaminen ei todennäköisesti vaikuta muihin palasiin.

Entä kuinka voimme nähdä tämän heijastuvan Veracode-käyttäjien keskuudessa? No, odotamme sovellusten käyttävän yhä enemmän yhtä kieltä ja tulemaan entistä pienikokoisimmiksi.

Veracode State of Software Security 12

Vuonna 2018 noin 20 prosenttia sovelluksista sisälsi useita kieliä. Tänä vuonna alle 5 prosenttia sovelluksista käytti useita kieliä, mikä viittaa käänteeseen kohti pienempiä, yksikielisiä sovelluksia tai mikropalveluita.

Veracode State of Software Security 12

2. Kolmansien osapuolien kirjastot

Kolmansien osapuolien kirjastojen puutteista 77 % pysyy korjaamattomina kolmen kuukauden kuluttua. Positiivista on se, että kolmansien osapuolten virheiden korjaamiseen kuluva aika on parantunut huomattavasti. Vuonna 2017 kesti yli kolme vuotta päästä 50 % (half-life) suljettuun pisteeseen — ja nyt se kestää vain hieman yli vuoden.

Veracode State of Software Security 12

Javalla, JavaScriptillä ja Pythonilla on selkeät trendit — ja tämä trendi on erittäin hyvä, koska se laskee jyrkästi. Vuonna 2017 lähes 35 prosentissa (keskimäärin) käytetyistä kirjastoista oli jokin tunnettu puute. Viime vuosina se on laskenut lähes 10 prosenttiin. JavaScript on pudonnut noin 10 prosentista alle 4 prosenttiin, Python noin 25 prosentista lähes 10 prosenttiin ja Go 7 prosentista 4 prosenttiin.

Veracode State of Software Security 12

3. Suurimmat haavoittuvuuskategoriat

Eilisen puutteet ovat (vielä) tämän päivän puutteita. Toki kielten välillä on eroja, ja yleisyys voi vaihdella. Mutta yleisesti ottaen tekniset viat eivät poistu, ja kaikki havaitsemamme muutokset kehittyvät hitaasti. Poistimme OWASP Top 10:ssä ja CWE/SANS Top 25:ssä luetellut puutteet sekä ne, jotka on luokiteltu kriittisyydeltään korkeaksi (high)  tai sitä korkeammaksi. Näitä ajan mittaan tarkasti tarkastellessa voidaan huomata joitain huippuja ja laaksoja.

Nyt haluamme Sinun kuitenkin vetäytyvän hieman taaksepäin ja ehkä siristävän silmiäsi, jotta näet näiden kaavioiden yleisen suuntauksen. Huomaat, että vaikka viivat saattavat pomppia ympäriinsä, ne kaikki vähenevät hitaasti.

Veracode State of Software Security 12

Lataa koko raportti:

Veracode SoSS 11: Open Source Edition
Veracode
Tapio Särkelä

Veracode SoSS 11: Open Source Edition

Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.

Read More »
State of software security 11 is here
Veracode
Tapio Särkelä

Veracode – State of Software Security 11

Veracode julkaisi äskettäin vuosittaisen raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat, mikä niitä

Read More »
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.