В огромном количестве приложений появляются уязвимости в системе безопасности в первый год их существования
13 января 2023 г.В первый год своего существования треть приложений (32 %) содержат бреши в системе безопасности, а к пяти годам это число увеличивается до более чем двух третей (70 %), согласно новому исследованию.
Новый отчет Veracode показал, что компаниям необходимо сканировать ошибки на ранней стадии, часто и различными способами, чтобы свести к минимуму вероятность серьезных проблем в будущем.
Компания проанализировали более трех четвертей миллиона приложений от поставщиков коммерческого программного обеспечения, аутсорсеров программного обеспечения и проектов с открытым исходным кодом и обнаружили, что после первоначального появления недостатков приложения обычно вступают в «период медового месяца» стабильности — почти 80% не t вносить какие-либо новые недостатки в течение первых полутора лет.
Ошибки, которые дорого обходятся
После этого некоторые разработчики снова начинают проявлять небрежность, а количество новых ошибок, вносимых в код, увеличивается примерно до 35 % через пять лет.
Игнорирование ошибок безопасности на раннем этапе может привести к огромным потерям. расходы в будущем, говорит Veracode, ссылаясь на недавние отчеты, в которых утверждается, что средняя утечка данных теперь стоит 4,35 миллиона долларов.
Вместо этого разработчики должны сделать ряд вещей, чтобы уменьшить вероятность появления дефекта, включая обучение разработчиков и использование нескольких типов сканирования, включая сканирование через API.
Частота сканирования также является важным фактором, добавили в компании. Кроме того, они должны как можно раньше и быстрее решить проблему технического долга и долга по безопасности, отдать приоритет автоматизации и обучению разработчиков безопасности, а также установить протокол управления жизненным циклом приложений, который включает управление изменениями, распределение ресурсов и организационный контроль.
«Использование решения для анализа состава программного обеспечения (SCA), которое использует несколько источников уязвимостей, помимо Национальной базы данных уязвимостей, будет заблаговременно предупреждать группы после обнаружения уязвимости и позволит им быстрее внедрять меры безопасности, надеюсь, до того, как начнется эксплуатация», — сказал Крис Энг, главный научный сотрудник Veracode.
«Также рекомендуется установить организационные политики в отношении обнаружения уязвимостей и управления ими, а также рассмотреть способы уменьшения сторонних зависимостей».
- Это лучшие инструменты для удаления вредоносных программ прямо сейчас ли>ул>
Оригинал