Katy Gwilliam
kgwilliam@veracode.com
(BUSINESS WIRE)-- أصدرت Veracode، المزود العالمي الرائد لأمن البرمجيات الذكية، اليوم بحثًا يشير إلى أن التطبيقات التي طورتها مؤسسات القطاع العام تميل إلى أن تكون بها عيوب أمنية أكثر من التطبيقات التي أنشأها القطاع الخاص. النتائج جديرة بالملاحظة لأن الأعداد المتزايدة من العيوب ونقاط الضعف في التطبيقات ترتبط بزيادة مستويات المخاطر. يأتي البحث وسط موجة من المبادرات الأخيرة من قبل الحكومة الفيدرالية لتعزيز الأمن السيبراني، بما في ذلك الجهود المبذولة للحد من نقاط الضعف في التطبيقات التي تؤدي وظائف حكومية مهمة.
وجد الباحثون أن ما يقل قليلاً عن 82 في المائة من التطبيقات التي طورتها مؤسسات القطاع العام بها عيب أمني واحد على الأقل تم اكتشافه في أحدث مسح لهم على مدار الـ 12 شهرًا الماضية، مقارنة بـ 74 في المائة من مؤسسات القطاع الخاص. اعتمادًا على نوع الخلل الذي تم تتبعه، كان لدى تطبيقات القطاع العام احتمالية أعلى بنسبة 7-12 في المائة لحدوث خلل تم إدخاله في الأشهر الـ 12 الماضية.
"الفرق بين معدل ظهور العيوب في تطبيقات القطاعين العام والخاص كبير. الجهود التي تبذلها الحكومة لسد الفجوة ضرورية وينبغي أن تستمر. صرح Chris Eng، كبير مسؤولي الأبحاث في Veracode "بصفتنا حماة للسلامة العامة، تتحمل الوكالات مسؤولية سد هذه الفجوة وتعزيز الأمن لحماية الأمة ومواطنيها".
ساعد تحليل البيانات التي تم جمعها من أكثر من 27 مليون عملية مسح عبر 750,000 تطبيق في إصدار أحدث تقرير سنوي لـ Veracode على State of Software Security. يعرض هذا التقرير الجديد النتائج الخاصة بالقطاع العام من عمليات المسح والتطبيقات تلك، بما في ذلك النتائج من الحكومة الفيدرالية وحكومات الولايات والحكومات المحلية.
الأرقام وحدها لا تنقل العواقب التي تحدث عندما يستغل المخترقون عيوب البرامج ونقاط الضعف. في أوائل شهر مايو من هذا العام، تسبب هجوم فدية ضد مدينة دالاس في عرقلة الوظائف التي تم الاعتماد عليها لتقديم الخدمات العامة، بما في ذلك أنظمة تكنولوجيا المعلومات التي تستخدمها وكالات السلامة العامة. بعد أكثر من ثلاثة أسابيع من وقوع الهجوم، لم تتعاف الوكالات العامة في دالاس تمامًا.
عيوب عالية الخطورة: فوز للقطاع العام
وجدت أبحاث Veracode أيضًا أسبابًا تجعل مؤسسات القطاع العام متفائلة بشأن أمان التطبيقات. كان اكتشاف العيوب "شديدة الخطورة" في تطبيقات القطاع العام (16.5 بالمائة) في فترة 12 شهرًا أقل من التطبيقات غير التابعة للقطاع العام (19 بالمائة). هذا جدير بالملاحظة لأن العيوب شديدة الخطورة، عند استغلالها، لديها إمكانية أكبر للتأثير على الأنظمة بشكل عكسي.
يشجع اختبار التطبيقات الحديثة على استخدام أنواع متعددة من أدوات الفحص الأمني، مثل اختبار أمان التطبيقات الثابتة (SAST) وتحليل تكوين البرامج (SCA)، لأن أنواع الفحص المختلفة تتفوق في الكشف عن أنواع مختلفة من العيوب. وجدت SAST و SCA عيوبًا في التطبيق في نسبة أقل من وكالات القطاع العام مقارنة بتطبيقات القطاع الخاص.
يمكن أن يشير العثور على عيوب أقل عند استخدام أدوات SCA إلى التأثير الأولي لـ الأمر التنفيذي مايو 2021 (EO 14028)، الذي يوجه الوكالات الفيدرالية الأمريكية لتنشيط الجهود لحماية سلسلة توريد البرامج. يدعو الأمر التنفيذي (EO) أيضًا إلى زيادة استخدام فواتير المواد البرمجية (SBOMs)، والتي تسرد المكونات في البرامج، وبالتالي تعزز مشاركة المعلومات والشفافية والرؤية. في مكان آخر، يقوم البرنامج الفيدرالي لإدارة المخاطر والتفويض (FedRAMP) بتوحيد التقييم الأمني للمنتجات والخدمات السحابية. وبالمثل، يمكّن StateRAMP حكومات الولايات والحكومات المحلية من التحقق من امتثال مزودي الخدمات السحابية لسياسات الأمن السيبراني.
صرح المهندس: "مع تطور أنظمة تكنولوجيا المعلومات الحديثة وأصبحت أكثر تعقيدًا، أصبح تصنيف عيوب التطبيق أكثر تنوعًا". "على هذا النحو، أصبح استخدام أنواع مسح متعددة للعثور على العيوب وإصلاحها من أفضل الممارسات."
أوقية وقاية خير من رطل علاج
يتمثل الاختلاف الصارخ بين تطبيقات القطاعين العام والخاص في المعدل الذي تكتشف به عمليات المسح عيوبًا جديدة في البرامج القديمة. بحلول الوقت الذي يتم فيه إنتاج البرمجيات لمدة خمس سنوات، يتباعد القطاعان بشكل حاد: تزداد معدلات العيوب الجديدة التي أدخلت في تطبيقات القطاع الخاص، بينما تنخفض معدلات وكالات القطاع العام.
يشير هذا الاتجاه إلى أن هيئات القطاع العام أكثر يقظة بشأن الحفاظ على أمان التطبيقات بمرور الوقت، وليس فقط خلال السنوات القليلة الأولى من دورة الحياة. على النقيض من ذلك، تشهد التطبيقات خارج الحكومة زيادة تدريجية وثابتة في ظهور عيوب جديدة مع تقدم العمر.
يوصي تقرير القطاع العام لأمن البرمجيات لعام 2023 بأربع إجراءات يمكن أن تتخذها الوكالات لتحسين وضع الأمن السيبراني لديها.
التدارك: إصلاح العيوب المتراكمة المعروفة
المسح بانتظام: المسح غير المتسق يجعل إصلاح العيوب أكثر صعوبة، مما يؤدي إلى المزيد من الأعمال المتراكمة
الأتمتة: تقلل أتمتة الاختبار عبر واجهات برمجة التطبيقات من إدخال العيوب في التطبيقات
أضف DAST إلى المكدس: استخدام المسح الديناميكي لاكتشاف العيوب التي تفتقدها أنواع المسح الأخرى
"لقد قطع القطاع العام شوطًا طويلاً في تعزيز أمان التطبيقات التي تخدم حكومتنا، ولكن لا يزال هناك المزيد من العمل الذي يتعين القيام به للوكالات لتحسين وضعها السيبراني وصد التهديدات الواردة. من خلال تركيز الجهود الأمنية على السبب الجذري لمعظم الخروقات السيبرانية - طبقة التطبيق - يمكن للوكالات تحقيق التحسينات اللازمة. وخلص المهندس إلى أن الفحص المنتظم باستخدام مجموعة متنوعة من أنواع الاختبار ومعالجة الديون الأمنية - الثغرات الأمنية المتراكمة التي تهدد سلامة النظام - سيمهد الطريق نحو مستقبل أكثر أمانًا للوكالات الحكومية".
بحث القطاع العام الكامل من تقرير Veracode State of Software Security متاح ويوفر مقاييس مقارنة أساسية بين الوكالات الحكومية.
حالة Veracode الكاملة لأمان البرامج 2023 متوفرة للتنزيل.
نبذة عن تقرير حالة أمان البرامج
يفحص المجلد الثالث عشر من تقرير Veracode السنوي عن حالة أمان البرامج الاتجاهات التاريخية التي تشكل مشهد البرامج وكيف تتطور ممارسات الأمان بجانب هذه الاتجاهات. تستند نتائج هذا العام إلى البيانات التاريخية الكاملة المتاحة من خدمات وعملاء Veracode وتمثل قطاعًا متقاطعًا من الشركات الكبيرة والصغيرة وموردي البرامج التجارية ومتعاقدي البرامج ومشاريع مفتوحة المصدر. يحتوي التقرير على نتائج حول التطبيقات التي خضعت للتحليل الثابت، والتحليل الديناميكي، وتحليل تكوين البرامج، و / أو اختبار الاختراق اليدوي من خلال منصة Veracode المستندة إلى السحابة. يدرس التقرير البيانات التي قدمها عملاء Veracode والمعلومات التي تم حسابها أو اشتقاقها في سياق تحليل Veracode.
نبذة عن Veracode
Veracode هو برنامج أمان ذكي. تكتشف منصة Veracode Software Security Platform باستمرار العيوب ونقاط الضعف في كل مرحلة من مراحل دورة حياة تطوير البرامج الحديثة. بدافع من الذكاء الاصطناعي القوي المدرب بواسطة تريليونات من أسطر التعليمات البرمجية، يقوم عملاء Veracode بإصلاح العيوب بشكل أسرع وبدقة عالية. تحظى Veracode بثقة فرق الأمان والمطورين وقادة الأعمال من آلاف المؤسسات الرائدة في العالم، وهي الشركة الرائدة التي تواصل إعادة تعريف معنى أمان البرامج الذكية. تم اعتماد Veracode لبرنامج إدارة المخاطر والتفويض FedRAMP و StateRAMP.
حقوق النشر © 2023 Veracode, Inc. جميع الحقوق محفوظة. Veracode هي علامة تجارية مسجلة لشركة Veracode, Inc. في الولايات المتحدة ويمكن تسجيلها في بعض الولايات القضائية الأخرى. جميع أسماء المنتجات أو العلامات التجارية أو الشعارات الأخرى مملوكة لأصحابها. جميع العلامات التجارية الأخرى المذكورة هنا هي ملك لأصحابها.
إن نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.
Katy Gwilliam
kgwilliam@veracode.com