للمزيد من المعلومات:
كايتي جويليام
البريد الإلكتروني: kgwilliam@veracode.com
بحث فيراكود يكشف عن الخطوات اللازمة للحدّ من ظهور العيوب الأمنية وتراكمها بالتزامن مع تطور التطبيقات وتقادمها
- بورلينغتون، ماساتشوستس - الخميس, ١٢. يناير ٢٠٢٣
- أيتوس واير
- طباعة
بحث فيراكود يكشف عن الخطوات اللازمة للحدّ من ظهور العيوب الأمنية وتراكمها بالتزامن مع تطور التطبيقات وتقادمها
- بورلينغتون، ماساتشوستس - الخميس, ١٢. يناير ٢٠٢٣
- أيتوس واير
- تحتوي أكثر من 30 بالمائة من التطبيقات على عيوب في المسح الأول. بحلول خمسة أعوام، ستحتوي نحو 70 في المائة من التطبيقات على عيب واحد على الأقل
- إنّ المسح بواسطة واجهة برمجة التطبيقات والتدريب العملي على الأمن وتكرار المسح هي عوامل رئيسية تم تحديدها للحدّ من ظهور العيوب مع مرور الوقت
(بزنيس واير): كشفت اليوم شركة "فيراكود"، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات الحديثة، عن البيانات التي يمكن أن توفر وقت المؤسسات وأموالها من خلال مساعدة المطورين على الحدّ من ظهور العيوب الأمنية وتراكمها في برمجياتهم. ووفق تقرير حالة أمن البرمجيات لشركة "فيراكود" لعام 2023، فإنّ تراكم العيوب مع مرور الوقت يؤدي إلى احتواء نحو 32 بالمائة من التطبيقات على عيوب تظهر في المسح الأول. وخلال فترة تشغيلها على مدى خمسة أعوام، تحتوي نحو 70 بالمائة من التطبيقات على عيب أمني واحد على الأقل. ومنذ عام 2010، تنشر "فيراكود" تقريرها السنوي الذي يلخص الاكتشافات الرئيسية من قاعدة عملائها المتنوعة.
وبينما يصل متوسّط تكلفة خرق البيانات إلى 4.35 مليون دولار أمريكي*، فينبغي على الفرق إعطاء الأولوية للمعالجة العيوب في المرحلة الأولية من دورة حياة تطوير البرمجيات لتقليل المخاطر الناجمة عن تراكم العيوب. وفي هذا السياق، قال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة "فيراكود": "على غرار جميع دراساتنا، شرعنا في تقديم رؤى يمكن للمطورين وضعها موضع التنفيذ على الفور. وانطلاقاً من نتائج هذا العام، برز اعتباران رئيسييان يتمثلان في كيفية تقليص فرص ظهور العيوب في المقام الأول، وسُبل تقليل أعداد تلك العيوب في التطبيقات. وإلى جانب ضوابط الوصول التقنية، تعتبر ممارسات التشفير الآمنة أكثر أهمية للأمن السيبراني في عام 2023 وما بعده".
غياب أي صلة مباشرة بين تطور التطبيق وظهور العيوب
بعد المسح الأولي، تدخل التطبيقات بسرعة فترة شهر من الاستقرار، ولا يواجه نحو 80 بالمائة منها أي عيوب جديدة على الإطلاق خلال أول عام ونصف العام. وبعد هذه المرحلة، يبدأ عدد العيوب الجديدة في التطبيقات بالارتفاع مجدداً ليبلغ 35 في المائة عند عتبة الخمسة أعوام.
ووجدت الدراسة أن تدريب المطورين، واستخدام أنواع المسح المتعددة، بما في ذلك المسح عبر واجهة برمجة التطبيقات، وتكرار المسح هي عوامل مؤثرة تساهم في تقليل احتمالية ظهور العيوب، ما يشير ضرورة اعتمادها من قِبل الفرق بصفتها مكونات أساسية في برامج أمن برمجياتها. وعلى سبيل المثال، فإنّ عدم إدراء عمليات المسح بشكل شهري يرتبط بزيادة فرصة اكتشاف العيوب عند إجراء المسح في نهاية المطاف. وتختلف العيوب في التطبيقات باختلاف نوع الاختبار، ما يبرز أهمية استخدام أنواع مسح متعددة لضمان عدم تفويت اكتشاف العيوب التي يصعب تحديدها.
هشاشة المصدر المفتوح
بالتزامن مع التركيز المتزايد على قائمة المواد البرمجية خلال العام الماضي، قام فريق أبحاث "فيراكود" أيضاً بفحص 30 ألف مستودع مفتوح المصدر تمت استضافتها بشكل عام على "جيت هاب". ومن المثير للاهتمام أنّ 10 بالمائة من المستودعات لم يكن لديها أي التزام بالتغيير في برمجية المصدر لمدة ستة أعوام تقريباً. وفي هذا الصدد، قال إنج: "إن استخدام حل تحليل تكوين البرمجيات ("إس سي إيه") الذي يستفيد من مصادر العيوب المتعددة، بما يتجاوز قاعدة بيانات العيوب الأمنية الوطنية، سيرسل تحذيراً مسبقاً للفرق فور الكشف عن عيوب أمنية وتمكينها من تنفيذ الإجراءات الوقائية بشكل أسرع، ونأمل ذلك قبل بدء التشغيل. ويُوصى أيضاً بوضع سياسات تنظيمية تتمحور حول الكشف عن العيوب الأمنية وإدارتها، بالإضافة إلى النظر في طرق تمكّن من تقليل تبعيات الأطراف الثالثة".
درهم وقاية خير من قنطار علاج: خطوات للنجاح
يكشف بحث "فيراكود" عن الخطوات الرئيسية التي يتعين على فرق التطوير والأمن اتخاذها وتشمل:
- معالجة الديون التقنية أو الأمنية (تراكم العيوب البرمجية بما يجعل الدفاع عن التطبيق أو البيانات صعباً أو حتى مستحيلاً) في أقرب وأسرع وقت ممكن. يجب أن يتراجع منحنى الإصلاح في وقت أبكر وأسرع لأن التطبيق سيحتوي على عيوب متراكمة في غضون عامين منذ تشغيله. ويستمر هذا الاتجاه التصاعدي، سواء من خلال زيادة التعقيدات خلال أعوام من النمو المطرد أو خفض التركيز على تطوير التطبيقات، ما يعني أن ثمة فرصة بنسبة 90 في المائة أن يحتوي التطبيق على عيب واحد على الأقل عند العشرة أعوام. ويساعد الفحص المتكرر باستخدام مجموعة متنوعة من الأدوات في العثور على العيوب التي قد تكون قد ظهرت أو تراكمت مع مرور الوقت وإصلاحها.
- إعطاء الأولوية للأتمتة وتوفير التدريب الأمني للمطورين لفهم العيوب التي يُرجح أن تظهر، بالإضافة إلى تقديم التقنيات التي تُتيح تجنّب ظهور العيوب تماماً. وبشكل عام، تُظهر البيانات فرصة بنسبة 27 في المائة لظهور عيوب جديدة في أحد التطبيقات في شهر معين. وينحفض هذا الاحتمال في المؤسسات التي تجري المسح بواسطة واجهة برمجة التطبيقات إلى 25 بالمائة. وتعمل المؤسسات التي استكملت 10 مختبرات أمنية - وهي منصة تدريب تقدم تجربة عملية للكشف عن العيوب ومعالجتها - على تقليص احتمالية حدوث عيوب بنسبة 1.8 في المائة في شهر معين.
- إنشاء بروتوكول معني بإدارة دورة حياة التطبيقات يتضمن إدارة التغيير وتخصيص الموارد والضوابط التنظيمية. ويتعين عليكم البحث فيما تبدو عليه مراحل الدعم ومراقبة الجودة في مؤسستكم. ويمكن أن تؤدي المناقشات الأولية إلى تقادم التطبيقات على النحو المخطط له ومراجعة العمليات وتدابير مراقبة الجودة المدمجة في هندسة المنتجات المستمرة.
واختتم جاي جاكوبس، المؤسس المشارك وعالم البيانات في معهد "سيينتيا"، الذي أعدّ التقرير بالتعاون مع شركة "فيراكود"، حديثه قائلاً: "بفضل تقرير حالة أمن البرمجيات لشركة ’فيراكود‘ لعام 2023، أعتقد أنّه من المشوّق البحث في تراكم العيوب والسلوكيات من خلال الاعتماد على البيانات لمدة عامين. وتتيح لنا البيانات الواسعة والعميقة تحديد أفضل الممارسات وبعض العوامل الدقيقة التي يجب معالجتها في المرحلة الأولية من عملية التطوير للحد من المخاطر في وقت لاحق".
حللت دراسة تقرير حالة أمن البرمجيات لشركة "فيراكود" لعام 2023 أكثر من ثلاثة أرباع مليون تطبيق خاصة بموردي البرمجيات التجارية ومتعاقدي البرمجيات الخارجيين والمشاريع مفتوحة المصدر. ويمكنكم تنزيل التقرير الكامل هنا.
*"آي بي إم سكيوريتي ومعهد "بونيمون"، "تقرير تكلفة خرق البيانات لعام 2022"، يوليو 2022، https://www.ibm.com/downloads/cas/3R8N1DZJ
لمحة عن تقرير حالة أمن البرمجيات
حلّل تقرير حالة أمن البرمجيات من "فيراكود" لعام 2023 بيانات الشركات الكبيرة والصغيرة وموردي البرمجيات التجارية ومتعاقدي البرمجيات الخارجيين والمشاريع المفتوحة المصدر. ويحتوي التقرير على نتائج أكثر من ثلاثة أرباع مليون تطبيق (759,445) استخدمت جميع أنواع المسح، وأكثر من مليون عملية مسح للتحليل الديناميكي (1,262,147)، وأكثر من سبعة ملايين عملية مسح للتحليل الثابت (7,522,989) وأكثر من 18 مليون مسح لتحليل تكوين البرمجيات (18,473,203). وأنتجت كل عمليات المسح 86 مليون نتيجة ثابتة أولية، و3.7 مليون نتيجة ديناميكية أولية، و8.5 مليون نتيجة تحليل تكوين برمجيات أولية.
لمحة عن "فيراكود"
تعدّ "فيراكود" شركة رائدة في مجال أمن التطبيقات، تتمثل مهمتها في ابتكار برمجيات آمنة، وخفض المخاطر الناجمة عن الخروقات الأمنية، وزيادة إنتاجية فرق التطوير والأمن. نتيجة لذلك، أصبحت الشركات التي تستخدم "فيراكود" قادرة على تطوير أعمالها والعالم أجمع. ومن خلال مزيج خدماتها، من أتمتة العمليات وعمليات التكامل والسرعة والاستجابة، تساعد "فيراكود" الشركات في الحصول على نتائج دقيقة وموثوقة لتركيز جهودها على إصلاح الثغرات المحتملة وليس العثور عليها فحسب. للمزيد من المعلومات، يُرجى زيارة الموقع الإلكتروني التالي: www.veracode.com، ومدوّنة "فيراكود"، ومتابعتنا على "لينكد إن" و"تويتر".
حقوق الطبع محفوظة لـشركة "فيراكود" 2023. جميع الحقوق محفوظة. إنّ "فيراكود" علامة تجارية مسجلة لـشركة "فيراكود" في الولايات المتحدة وغيرها من الولايات القضائية. إنّ جميع أسماء المنتجات أو العلامات التجارية أو الشعارات الأخرى مملوكة لأصحابها. وإنّ جميع العلامات التجارية الأخرى المذكورة هنا هي ملك لأصحابها المعنيين.
يمكنكم الاطلاع على النسخة الأصلية للبيان الصحفي على موقع "بزنيس واير"(businesswire.com) على الرابط الإلكتروني التالي: https://www.businesswire.com/news/home/20230111005141/en/
إنّ نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.
الرابط الثابت
https://aetoswire.com/ar/news/1201202329554
https://aetoswire.com/ar/news/1201202329554
