بورلينغتون، ماساتشوستس — كشفت اليوم شركة “فيراكود”، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات، أن قطاع التصنيع يحتوي على أقل عدد من العيوب في أمن البرمجيات، متفوّقاً بذلك على قطاع الخدمات المالية الذي استحوذ على المركز الأول العام الماضي. ونُشرت هذه البيانات في تقرير حالة أمن البرمجيات السنوي للشركة بنسخته الـ12، الذي حلل 20 مليون عملية مسح لنصف مليون تطبيق في قطاعات الرعاية الصحية والخدمات المالية والتكنولوجية والتصنيع والتجزئة والقطاعات الحكومية.
في الوقت الذي يواجه فيه القطاع ضغوطات متزايدة وطلبات متنامية على سلسلة التوريد، تصدّر قطاع التصنيع المشهد بصفته الأكثر استهدافاً من قبل مرتكبي الهجمات السيبرانية في عام 2021، وكأكبر ناقل أولي للهجمات السيبرانية* ما يكشف عن استغلال هذه الثغرات الأمنية. لذلك، اكتسب تأمين سلسلة توريد البرمجيات أولوية متقدّمة، خاصةً منذ تسليط الضوء عليها من قبل تفويضات مثل الأمر التنفيذي الأمريكي للأمن السيبراني وقانون المرونة السيبرانية الخاص بالاتحاد الأوروبي.
وقال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة “فيراكود”: “من المشجع أن نرى تقليصاً للعيوب في أمن البرمجيات خلال العام الماضي فيما تستمر مؤسسات التصنيع في جعل أمن البرمجيات أولوية – خاصة وأن الابتكار التكنولوجي أدى إلى زيادة اعتماد المنصات والبيئات الجديدة. في العام الماضي، اكتشفنا أن 76 بالمائة من تطبيقات التصنيع تحتوي على عيوب، واعتُبرت 21 في المائة منها “شديدة الخطورة”. وقد انخفضت هذه الأرقام بشكل كبير”.
الثغرات الأمنية مفتوحة المصدر تبقى لفترات طويلة
على الرغم من النتائج الإيجابية من حيث انتشار العيوب، كشفت أبحاث “فيراكود” أن قطاع التصنيع – إلى جانب قطاعي الرعاية الصحية والتكنولوجيا – يحتوي على أقل نسبة من العيوب التي يتم إصلاحها بمجرد اكتشافها. إلا أنّ المُقلق هنا فهو الوقت الذي يستغرقه إصلاح هذه العيوب – إذ تُعد قطاعات التصنيع من بين الأطر الزمنية الأبطأ لاكتشاف العيوب بواسطة التحليل الثابت والتحليل الديناميكي وتحليل تكوين البرمجيات. وعلى سبيل المثال، فإن نحو 55 في المائة من العيوب التي اكتشفها التحليل الثابت لم تُصلح بعد عام واحد، وسجل قطاع التصنيع تباطؤاً مستمراً مقارنة بالمتوسط العام بنحو أربعة أشهر.
وغالباً ما تبقى العيوب الموجودة في مكتبات الطرف الثالث والتي تُكتشف من خلال تحليل تكوين البرمجيات فترةً أطول في جميع القطاعات، مع بقاء 30 في المائة منها دون حل بعد عامين. أما في قطاع التصنيع، فارتفعت هذه الإحصائية إلى أكثر من 40 في المائة، لتسجل تباطؤاً يتجاوز نحو ستة أشهر مقارنة بمتوسط القطاع.
وتابع إنج قائلاً: “قد يتأثر ذلك بعدد أكبر من التطبيقات الصناعية المتخصصة التي تحتوي على عيوب أقل، ولكن يصعب إصلاحها، مقارنة بالقطاعات الأخرى. وتُسلّط هذه النتائج الضوء على حاجة الشركات المصنعة إلى التركيز على معالجة العيوب في الوقت المناسب”.
بعض العيوب أكثر شيوعاً من غيرها
وتعمّق البحث أيضاً بأنواع العيوب في لغات البرمجة التي تستخدمها التطبيقات في قطاع التصنيع، من بينها “جافا” و”دوت نت” و”جافا سكريبت”. تطرّق البحث الذي أجرته “فيراكود” إلى أنواع العيوب التي تؤثر على التطبيقات، ووجد أن تكوين الخادم، والاعتمادات غير الآمنة، وتسرب المعلومات هي من بين أكثر الثغرات المكتشفة شيوعاً في قطاع التصنيع.
واختتم إنج حديثه قائلاً: “تعتمد سلامة الشركات والبنية التحتية الحيوية إلى حد كبير على تأمين سلسلة توريد البرمجيات، ولا يمكن تحقيق ذلك إلا من خلال الرؤية الواضحة لمكوناتها. إنّ دمج أمن البرمجيات في المرحلة الأولية من دورة حياة تطوير البرمجيات والاستفادة من الأدوات الرامية إلى إنشاء قائمة مكوّنات البرمجيات (إس بي أو إم) سيضمن للمصنعين بأن المنتجات التي يطرحونها في السوق تحتوي على مكامن ضعف أقل وبالتالي مخاطر أقل”.