بورلينغتون، ماساتشوستس — صدرت اليوم شركة “فيراكود”، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات، بيانات تكشف عن تصنيف قطاع الخدمات المالية من بين أفضل القطاعات من حيث نسبة العيوب الإجمالية مقارنةً بالقطاعات الأخرى، إلّا أنّه يتمتع بأحد أدنى معدلات إصلاح عيوب أمن البرمجيات. كذلك يحتل هذا القطاع موقعاً وسطياً في قائمة القطاعات التي تحتوي على عيوب شديدة الخطورة، إذ تحتوي 18 في المائة من تطبيقاته على ثغرات خطيرة، ما يشير إلى وجوب إعطاء الشركات المالية الأولوية لتحديد العيوب الأكثر أهمية ومعالجتها.
وأُوجزت نتائج هذه البيانات في تقرير حالة أمن البرمجيات السنوي للشركة بنسخته الـ12، الذي حلل 20 مليون عملية مسح لنصف مليون تطبيق في القطاعات المالية والتكنولوجية والتصنيع والبيع بالتجزئة والرعاية الصحية والقطاعات الحكومية. ومن ضمن القطاعات الستة، سجّل القطاع المالي ثاني أقل نسبة من حيث التطبيقات التي تحتوي على عيوب أمنية، بلغت 73 في المائة. وفي تقرير العام الماضي، سجّل القطاع أقل عدد من عيوب أمن البرمجيات من بين جميع القطاعات، إلّا أنّه تراجع خلف قطاع التصنيع في دارسة هذا العام. وعلى الرغم من وجود عدد أقل من العيوب بشكل عام، يحتل قطاع الخدمات المالية المرتبة الأخيرة مع قطاع التكنولوجيا والقطاع الحكومي بتسجيلهم أدنى نسبة عيوب تم إصلاحها.
وقال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة “فيراكود” في هذا السياق: “تتمثل إحدى مزايا خدمة مجتمع تطوير البرمجيات لأعوام عديدة في قدرة شركة ’فيراكود‘ على ملاحظة التغييرات في ممارسات التطوير في القطاعات بمرور الوقت. فقد وجدنا أنّه بينما سجّلت تطبيقات الخدمات المالية عيوباً أمنية أقل من العام الماضي، سجّل القطاع تباطؤاً في معدل الإصلاح مقارنةً بالقطاعات الأخرى. وأظهر بحثنا قدرة التدريب الأمني على تحسين سرعات المعالجة بشكل ملموس، وأنّ الشركات التي أكملت فرق التطوير لديها تدريباً عملياً باستخدام تطبيقات فعلية أصلحت عيوباً أسرع بنسبة 35 في المائة نظيراتها التي لم تخضع لهذا النوع من التدريب”.
تأمين سلسلة توريد البرمجيات العالمية
ومع أنّ الفرصة ما تزال سانحةً لإحراز تقدم فيما يتعلّق بانتشار العيوب ومعدلات معالجتها، إلّا أنّ مؤسسات الخدمات المالية تتحرّك بوتيرة أسرع من معظم المؤسسات الأخرى عندما تقوم بإصلاح المشاكل التي تهددها.
وقال إنج تعليقاً على هذه النتائج: “سلّط الأمر التنفيذي الأمريكي للأمن السيبراني، إلى جانب تفويضات الضوابط الأمنية المتعلقة بالاستخدامات مفتوحة المصدر، مثل النظام الأوروبي العام لحماية البيانات ولوائح الأمن السيبراني لإدارة الخدمات المالية في نيويورك، الضوء على أهمية تأمين سلسلة توريد البرمجيات. وباعتباره قطاعاً شديد التنظيم، فإنّ ذلك يُفسّر سرعة القطاع المالي النسبية في معالجة المكتبات الضعيفة المكتشفة من خلال تحليل تكوين البرمجيات”.
وغالباً ما تبقى العيوب الموجودة في مكتبات الطرف الثالث والتي تُكتشف من خلال تحليل تكوين البرمجيات فترةً أطول في جميع القطاعات، مع بقاء 30 في المائة منها من دون حل بعد عامين. ومع ذلك، عندما يتعلق الأمر بمعالجة نقاط الضعف مفتوحة المصدر، فإن القطاع المالي يعالج عيوبه بنفس وتيرة القطاعات الأخرى للسنة الأولى، ولكنه بعد ذلك يسرع من وتيرته ليكسب شهراً على متوسط القطاع.
وعلى الرغم من أن القطاع المالي يتفوق في أدائه على معظم القطاعات الأخرى في أوقات إصلاح العيوب تُكتشف بواسطة التحليل الديناميكي وتحليل تكوين البرمجيات والتحليل الثابت، وجدت الدراسة أن الفرصة ما تزال سانحةً لكثير من التحسين المستمر عند النظر إلى عدد الأيام التي يستغرقها حل 50 في المائة من العيوب، أي 116 يوماً للتحليل الديناميكي، و385 يوماً لتحليل تكوين البرمجيات، و288 يوماً للتحليل الثابت. ومن خلال مكونات الجهات الخارجية التي تشتمل على ما يصل إلى 90 في المائة* من قاعدة بيانات التطبيق، يقلّل المسح المبكر وغالباً ما يستخدم مجموعة من أنواع الاختبار من أعمال معالجة الطوارئ غير المخطط لها ويخفف من مخاطر إدخال ثغرات أمنية تابعة لجهات خارجية في البرمجية.