Katy Gwilliam
kgwilliam@veracode.com
72% من تطبيقات الخدمات المالية تحتوي على ثغرات أمنية؛ كما أن المسح الذي يتم إطلاقه باستخدام واجهة برمجة التطبيقات والتدريب الأمني التفاعلي يؤدي إلى انخفاض احتمالية حدوث الثغرات إلى 22%
يتصدر القطاع الصناعات الرئيسية في تقرير حالة أمن البرمجيات لعام 2023
(BUSINESS WIRE)-- أصدرت Veracode، وهي مزود عالمي رائد لأمن البرمجيات الذكية، أبحاثاً جديدة تكشف عن العوامل الرئيسية التي تؤثر على ظهور الثغرات وتراكمها في قطاع الخدمات المالية. ويتفوق الأداء الأمني للتطبيقات المالية بشكل عام على الصناعات الأخرى، حيث تساهم الأتمتة والتدريب الأمني المستهدف والمسح عبر واجهة برمجة التطبيقات في خفض نسبة التطبيقات التي تحتوي على ثغرات على أساس سنوي.
في ضوء اللوائح التنظيمية الرئيسية التي تؤثر على قطاع الخدمات المالية، بما في ذلك قواعد الإفصاح عن الأمن السيبراني الصادرة عن هيئة الأوراق المالية والبورصة الأمريكية، وقانون المرونة التشغيلية الرقمية للاتحاد الأوروبي (DORA)، تقدم دراسة Veracode توصيات للحد من المخاطر الناجمة عن الثغرات في البرمجيات. في حين أن ما يقرب من 72 في المئة من التطبيقات في قطاع الخدمات المالية تحتوي على ثغرات أمنية، إلا أن هذا هو أدنى مستوى في جميع الصناعات التي تم تحليلها، ويعتبر تحسناً مقارنة بالعام الماضي.
وفي هذا الصدد، صرح Chris Eng، كبير مسؤولي الأبحاث في Veracode، قائلاً: "لقد أبرزت الخدمات المالية أداءً قويًا في جميع المجالات في تحليل هذا العام". "لقد أدت زيادة المنافسة وتوقعات الزبائن، جنباً إلى جنب مع اللوائح الأكثر صرامة في جميع أنحاء الصناعة، إلى زيادة الضغط على المطورين وفرق الأمن للعثور على الثغرات وإصلاحها على نطاق واسع. علاوة على ذلك، أدى انفجار الذكاء الاصطناعي والتعلم الآلي إلى دفع وتيرة تطوير البرمجيات إلى مستوى جديد، مما أدى إلى فرط انتشار الثغرات. وقد نجح القطاع في تحسين أدائه، ولكن لا يزال هناك الكثير مما يتوجب القيام به، وستستفيد المنظمات المالية من زيادة الأتمتة وتقنيات الترميز الآمنة لمساعدتها على منع الثغرات واكتشافها والاستجابة لها بشكل أسرع من أي وقت مضى".
يؤدي فحص واجهة برمجة التطبيقات والتدريب عليها إلى تقليل احتمالية حدوث الثغرات
وجدت أبحاث Veracode أن منظمات الخدمات المالية ترى تأثيرات أقوى من العناصر الإيجابية للمسح عبر واجهة برمجة التطبيقات والتدريب الأمني، مقارنة بالمتوسط بين الصناعات. ويعد المسح عبر واجهة برمجة التطبيقات مقياساً للنضج في برنامج أمن البرمجيات، ومن المرجح أن يكون للشركات التي تدمج استخدام واجهة برمجة التطبيقات أتمتة أكبر وتحكماً أكبر في مسار التطوير. وفي الواقع، فإن أولئك الذين يستفيدون من المسح عبر واجهة برمجة التطبيقات يقدمون أداءً أفضل بنسبة 11 في المئة من الاحتمالية الأساسية لغير المالية عندما يتعلق الأمر بحدوث العيوب في كل شهر. وتقلل إضافة التدريب الأمني التفاعلي إلى هذا المزيج من ذلك بشكل أكبر، حيث يقوم العاملان معاً بتقليل فرصة حدوث الثغرات بنسبة 19 في المئة في كل شهر.
كما أن تأثير المسح عبر واجهة برمجة التطبيقات والتدريب الأمني على عدد الثغرات عند حدوث ها أكثر وضوحاً. وعندما أكملت فرق الخدمات المالية 10 وحدات تدريبية أمنية تفاعلية، تعرضت لثغرات أقل بنسبة 26%، مما يجعل أداء القطاع أعلى بكثير من المتوسط في الصناعة بأكملها. وبالمثل، كان لإطلاق عمليات المسح عبر واجهة برمجة التطبيقات تأثير أقوى على عدد الثغرات التي حدثت في تطبيقات الخدمات المالية مقارنة بالصناعات الأخرى.
وصرح Eng قائلاً: "تشير البيانات إلى أن منظمات الخدمات المالية تستفيد بشكل كبير من الأتمتة من خلال استخدام واجهة برمجة التطبيقات. ويعد الوصول إلى الأتمتة أمراً طموحاً للعديد من المنظمات، ولكننا نرى أن إطلاق عمليات المسح عبر واجهة برمجة التطبيقات يرتبط باحتمالية أقل لحدوث الثغرات، ومن ثم تقليل كمية الثغرات التي تشق طريقها إلى البرمجيات. ومن غير المستغرب أن يكون للتدريب أيضاً علاقة مباشرة بخفض حدوث الثغرات".
قوة الذكاء الاصطناعي والتعلم الآلي
كما حلل تقرير حالة أمن البرمجيات تفضيل اللغة بشكل عمودي ووجد، عند 51 في المئة، أن Java معيار فعلي تقريباً في قطاع الخدمات المالية. وتعمل Veracode Fix، وهي أداة معالجة قائمة على الذكاء الاصطناعي أطلقت في وقت سابق من هذا العام، على الاستفادة من التعلم الآلي لإصلاح 74 في المئة من نتائج Java الثابتة. ويمكِّن هذا الانخفاض الكبير في الوقت والجهد المنظمات من تحسين الوضع الأمني وتقليل المخاطر بشكل أكبر، مما يوفر القدرة على الابتكار والإبداع. علاوة على ذلك، وبما أن تطبيقات Java (أكثر من 95%) تتكون من كود طرف ثالث، تظهر بيانات Veracode الفوائد الصناعية لتحليل تكوين البرمجيات لتعزيز سلامة وكمال إدراج الأكواد مفتوحة المصدر.
حالة أمن البرمجيات لـ Veracode: تقرير الخدمات المالية مع التفاصيل الكاملة والتوصيات متاح للتنزيل على موقع Veracode الإلكتروني.
تقرير Veracode العالمي الكامل لحالة أمن البرمجيات لعام 2023 متاح للتنزيل هنا.
نبذة عن تقرير حالة أمن البرمجيات
يتناول التقرير السنوي الثالث عشر لـ Veracode بشأن حالة أمن البرمجيات الاتجاهات التاريخية التي تشكل المشهد العام للبرمجيات وكيف تتطور الممارسات الأمنية جنباً إلى جنب مع تلك الاتجاهات. وتستند نتائج هذا العام إلى البيانات التاريخية الكاملة المتاحة من خدمات Veracode والزبائن وتمثل قسماً شاملاً من الشركات الكبيرة والصغيرة وموردي البرمجيات التجارية ووكلاء البرمجيات والمشاريع مفتوحة المصدر. ويحلل التقرير البيانات التي تم جمعها من أكثر من 27 مليون مسح عبر 750.000 تطبيق، ويحتوي على نتائج حول التطبيقات التي خضعت للتحليل الثابت والتحليل الديناميكي وتحليل تكوين البرمجيات و/أو اختبار الاختراق اليدوي من خلال منصة Veracode القائمة على الحوسبة السحابية. ويسلط هذا التقرير الجديد الضوء على النتائج الخاصة بالخدمات المالية مقارنة بالتصنيع وتجارة التجزئة والضيافة والتكنولوجيا والرعاية الصحية والقطاع العام.
نبذة عن Veracode
Veracode هي شركة مختصة في أمن البرمجيات الذكية. وتعمل منصة أمن البرمجيات من Veracode على اكتشاف الثغرات ونقاط الضعف في كل مرحلة من مراحل دورة حياة تطوير البرمجيات الحديثة. وباستخدام الذكاء الاصطناعي القوي المدرب على مجموعة بيانات موثوقة ومنظمة بعناية من تجربة تحليل تريليونات خطوط الرموز، يقوم زبائن Veracode بإصلاح الثغرات بشكل أسرع وبدقة عالية. وتحظى Veracode بثقة فرق الأمان والمطورين وقادة الأعمال من آلاف المنظمات الرائدة في العالم، وهي الشركة الرائدة التي تواصل إعادة تعريف ما يعنيه أمن البرمجيات الذكية.
تعرف على المزيد على www.veracode.com، وعلى مدونة Veracode، وعلى LinkedIn و Twitter.
حقوق التأليف والنشر .2023 Veracode, Inc ©. جميع الحقوق محفوظة. Veracode هي علامة تجارية مسجلة لـ .Veracode, Inc في الولايات المتحدة وقد تكون مسجلة في بعض الولايات القضائية الأخرى. جميع أسماء المنتجات أو العلامات التجارية أو الشعارات الأخرى مملوكة لأصحابها. جميع العلامات التجارية الأخرى المذكورة هنا هي ملك لأصحابها.
إن نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.
صور / وسائط متعددة متوفرة على
Katy Gwilliam
kgwilliam@veracode.com