تكشف أبحاث Veracode أن التطبيقات الحكومية معرضة لخطر متزايد للهجوم السيبراني: 59% لديهم عيوب لم يتم إصلاحها لأكثر من عام

(BUSINESS WIRE)--أصدرت شركة Veracode، الرائدة عالميًا في إدارة مخاطر التطبيقات، اليوم بحثًا يكشف عن أن التطبيقات التي طورتها مؤسسات القطاع العام لديها ديون أمنية أكثر من تلك التي أنشأها القطاع الخاص. الديون الأمنية، التي تم تعريفها في هذا التقرير على أنها عيوب تظل غير مثبتة لمدة تزيد عن عام، موجودة في 59 بالمائة من الطلبات في القطاع العام، مقارنة بالمعدل الإجمالي البالغ 42 بالمائة. حلل البحث مؤسسات القطاع العام في أكثر من 25 دولة حول العالم.

قال Chris Eng، كبير مسؤولي الأبحاث في شركة Veracode: "إن عقودًا من الديون الأمنية المتراكمة في البرامج غير المصححة وتكوينات الأمان الضعيفة، موجودة في التطبيقات التي تخدم حكومتنا". "من دون نهج منهجي ومستمر لإيجاد وإصلاح العيوب الأمنية، يتعرض القطاع العام بشكل خطير لهجمات المتسللين".

تتعرض أنظمة الحكومة الفيدرالية بشكل متزايد للهجمات الإلكترونية، حيث يستهدف المجرمون الخبيثون مؤسسات القطاع العام بتقنيات أكثر ضررًا وتعطيلاً. ردًا على ذلك، تفرض الحكومة الفيدرالية سلسلة من المبادرات لتعزيز الأمن السيبراني، بما في ذلك الجهود المبذولة للحد من المخاطر في التطبيقات التي تخدم الحكومة. في مارس من عام 2024، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب الإدارة والميزانية (OMB) نموذج شهادة تطوير البرمجيات الآمنة لمساءلة مقدمي الخدمات أمام الحكومة الفيدرالية عن البرمجيات غير الآمنة.

وجد باحثو Veracode أنه في حين أن عددًا أقل قليلاً من مؤسسات القطاع العام (68 في المئة) لديها ديون أمنية مقارنة بالصناعات الأخرى (71 في المائة)، إلا أنها تميل إلى مراكمة المزيد منها. ثلاثة في المئة فقط من التطبيقات خالية من العيوب، مقارنة بستة في المئة في الصناعات الأخرى. والأمر الأكثر إثارة للقلق هو أن 40% من كيانات القطاع العام تعاني من عيوب مستمرة شديدة الخطورة تشكل ديونًا أمنية "حرجة"، الأمر الذي من شأنه أن يعرض سرية الشركات ونزاهتها وتوافرها لخطر جسيم إذا تم استغلالها.

وقال Eng: "الخبر السار هو أن معظم المؤسسات لديها القدرة على معالجة جميع الديون الحرجة، ولكن تحديد أولويات المخاطر أمر أساسي". "إن ثلثي العيوب في مؤسسات القطاع العام إما عمرها أقل من عام واحد أو ليست حرجة في شدتها. بالإضافة إلى ذلك، يشكل أقل من واحد في المئة من جميع العيوب ديونًا أمنية حرجة. ومن خلال إعطاء الأولوية لهذا الدين الأمني بجهد مركز، يمكن للمؤسسات تحقيق أقصى قدر من الحد من المخاطر ومن ثم الانتقال لمعالجة العيوب غير الحرجة بناءً على قدرتها على تحمل المخاطر وقدراتها.

ووفقًا للتقرير، فإن الديون الأمنية في القطاع العام تؤثر في المقام الأول على التعليمات البرمجية للطرف الأول (93 في المئة)، ولكن معظم الديون الأمنية الهامة تأتي من تبعيات الطرف الثالث (55.5 في المئة). وهذا يعزز أهمية مبادرة البرمجيات الأمنية مفتوحة المصدر (OS3I)، وهي مجموعة عمل مشتركة بين الوكالات تركز على ضمان أن البرمجيات مفتوحة المصدر "آمنة ومأمونة ومستدامة بقدر ما هي مفتوحة". كما يؤكد أيضًا على حاجة المؤسسات إلى التركيز على التعليمات البرمجية للطرف الأول والثالث لتقليل الديون الأمنية بشكل فعال.

ويظهر التحليل كذلك أن الديون الأمنية في القطاع العام تتركز في المقام الأول في التطبيقات الأقدم والأكبر (22 في المئة). وينطبق هذا بشكل خاص على الديون الأمنية الحرجة (30 في المئة)، مما يؤكد وجود علاقة بين عمر التطبيق وتراكم الديون الأمنية. قام الباحثون أيضًا بمقارنة ملف الديون الأمنية للغات التطوير المختلفة ووجدوا أن تطبيقات Java و.NET تبرز كمصادر مهمة للديون في القطاع العام.

واختتم Eng: "إن الوضع الحالي لأمن البرمجيات في القطاع العام يعزز أهمية جعل الأمان من خلال التصميم نهجًا قياسيًا للعالم المتصل بالشبكة بالكامل". "نحن نشيد بإعلان CISA الأخير عن تعهدها بمبدأ "الأمان من خلال التصميم" ونفخر بكوننا أحد الموقعين الأوائل. هدفنا من هذا البحث هو تقديم المزيد من الدعم لحكومتنا وشركائنا في الصناعة في تعزيز اعتماد هذه المبادئ على نطاق واسع".

التقرير الكامل لحالة أمن البرمجيات في القطاع العام 2024 متاح للتنزيل على موقع Veracode الإلكتروني.

حول تقرير حالة أمن البرمجيات

قام تقرير حالة أمن البرمجيات لعام 2024 من Veracode بتحليل البيانات من الشركات الكبيرة والصغيرة وموردي البرامج التجارية ومتعهدي البرمجيات الخارجيين والمشاريع مفتوحة المصدر. يستمد البحث معلوماته من أكثر من مليون (1,007,133) تطبيق عبر جميع أنواع المسح، و1,553,022 مسحًا للتحليل الديناميكي، و11,429,365 مسحًا للتحليل الثابت. أنتجت جميع عمليات المسح هذه 96 مليون نتيجة ثابتة أولية، و4 ملايين نتيجة ديناميكية أولية، و12.2 مليون نتيجة تحليل لتكوين البرامج الأولية.

حول Veracode

Veracode هي شركة عالمية رائدة في مجال إدارة مخاطر التطبيقات لعصر الذكاء الاصطناعي. مدعومة بتريليونات من أسطر عمليات مسح التعليمات البرمجية ومحرك معالجة مدعوم بالذكاء الاصطناعي، تحظى منصة Veracode بالثقة من قبل المؤسسات في جميع أنحاء العالم لبناء وصيانة برامج آمنة بدءًا من إنشاء التعليمات البرمجية وحتى النشر السحابي. يستخدم الآلاف من فرق التطوير والأمن الرائدة في العالم Veracode كل ثانية من كل يوم للحصول على رؤية دقيقة وقابلة للتنفيذ للمخاطر القابلة للاستغلال، وتحقيق معالجة الثغرات الأمنية في الوقت الفعلي، وتقليل ديونهم الأمنية على نطاق واسع. Veracode هي شركة حائزة على العديد من الجوائز تقدم قدرات لتأمين دورة حياة تطوير البرامج بأكملها، بما في ذلك Veracode Fix، والتحليل الثابت، والتحليل الديناميكي، وتحليل تكوين البرامج، وأمن الحاويات، وإدارة وضع أمن التطبيقات، واختبار الاختراق.

تعرف على المزيد على www.veracode.com، وعلى مدونة Veracode، وعلى LinkedIn، وX.

حقوق الطبع والنشر © لعام 2024 لصالح شركة .Veracode, Inc. جميع الحقوق محفوظة. Veracode هي علامة تجارية مسجلة لشركة .Veracode, Inc في الولايات المتحدة ويمكن تسجيلها في بعض الولايات القضائية الأخرى. تنتمي جميع أسماء المنتجات أو العلامات التجارية أو الشعارات الأخرى إلى أصحابها. جميع العلامات التجارية الأخرى المذكورة هنا هي ملك لأصحابها المعنيين.

إن نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.

صور / وسائط متعددة متوفرة على :  https://www.businesswire.com/news/home/54018704/en