بورلينغتون، ماساتشوستس — كشفت اليوم شركة “فيراكود”، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات الحديثة، أن 24 في المائة من التطبيقات في قطاع التكنولوجيا تحتوي على عيوب أمنية تشكّل خطراً جسيماً – مما يعني أنها ستسبب مشكلة حرجة للتطبيقات في حال استغلالها. ولأن فيه نسبة أعلى من التطبيقات التي يمكن التعامل معها مقارنة بالقطاعات الأخرى، سيستفيد قطاع التكنولوجيا من تزويد فرق التطوير في شركاته بتدريبات وممارسات محسّنة على التعليمات البرمجية الآمنة.
وقال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة “فيراكود”: “إن منح المطورين خبرة عملية فعلية حول ما يلزم لاكتشاف العيوب واستغلالها في التعليمات البرمجية – وتأثيرها المحتملة على التطبيق – يوفر لهم السياق والفهم المناسبين لتثبيت حدسهم حول أمن البرمجيات. لقد وجد البحث الذي أجريناه أن المؤسسات التي استكمل المطورون لديها درساً واحداً فقط من برنامجنا التدريبي العملي التابع لمختبراتنا الأمنية تمكنت من إصلاح 50 في المائة من العيوب أسرع بشهرين من تلك التي لم تحصل على مثل هذا التدريب”.
هذا ونُشرت هذه البيانات في تقرير حالة أمن البرمجيات السنوي لشركة “فيراكود” بنسخته الـ12، الذي حلل 20 مليون عملية مسح لنصف مليون تطبيق في قطاعات التكنولوجيا والبيع بالتجزئة والتصنيع والرعاية الصحية والخدمات المالية والقطاعات الحكومية. وكشف التقرير بشكل عام أن قطاع التكنولوجيا لديه ثاني أعلى نسبة من التطبيقات التي تحتوي على عيوب أمنية (79 في المائة)، مما يجعله أفضل بشكل هامشي من القطاع العام حيث تصل النسبة 82 في المائة. ويتخذ قطاع التكنولوجيا موقعاً في منتصف الحزمة عندما يتعلق الأمر بنسبة العيوب التي تم إصلاحها.
شركات التكنولوجيا سريعة نسبياً في إصلاح العيوب الأمنية في البرمجيات
الأمر المشجع أنّ شركات التكنولوجيا عندما تكتشف عيوباً في تطبيقاتها تجتاز بسرعة نصف الطريق إلى الإصلاح. في الواقع، يفخر القطاع بأوقات إصلاح رائدة للعيوب المكتشفة من خلال اختبار أمن التحليل الثابت (“إس إيه إس تي”) وتحليل تكوين البرمجيات (“إس سي إيه”). في حين أن هذا الإنجاز جدير بالثناء، لا يزال إصلاح 50 في المائة من العيوب يستغرق من القطاع ما يصل إلى 363 يوماً، مما يشير إلى أنه ثمة فرصة كبيرة لإجراء تحسينات.
وأضاف كريس إنج: “لقد أطلق برنامج ’لوغ 4 جيه‘ جرس إنذار للعديد من المؤسسات في ديسمبر الماضي. وتبع ذلك إجراء حكومي على شكل توجيه من مكتب الإدارة والميزانية وقانون المرونة الإلكترونية الأوروبي، وكلاهما يركز على سلسلة التوريد. من أجل تحسين الأداء في العام المقبل، لا ينبغي لشركات التكنولوجيا النظر فقط في الاستراتيجيات التي تساعد المطورين على خفض معدل العيوب التي تحتوي عليها التعليمات البرمجية، ولكن أيضًا التركيز بشكل أكبر على أتمتة اختبار الأمان في خط إنتاج التكامل المستمر/التسليم المستمر لزيادة الكفاءات”.
يعد تكوين الخادم والتبعيات غير الآمنة وتسرب المعلومات أكثر أنواع العيوب شيوعاً التي اكتشفها التحليل الديناميكي للتطبيقات التقنية، والذي يتبع على نطاق واسع نمطاً مشابهاً للقطاعات الأخرى. بخلاف ذلك، يُظهر القطاع تفاوتاً عالياً عن متوسط القطاع بما يتعلق بمشكلات التشفير وتسرب المعلومات، الأمر الذي قد يشير إلى أن المطورين في قطاع التكنولوجيا أكثر دراية بتحديات حماية البيانات.
ويمكنكم تنزيل لمحة عن تقرير حالة أمن البرمجيات من “فيراكود” بنسخته الـ12 هنا، والتقرير الكامل هنا.
لمحة عن تقرير حالة أمن البرمجيات
حلّل تقرير حالة أمن البرمجيات من “فيراكود” بنسخته الـ12 البيانات التاريخية الكاملة من خدمات وعملاء “فيراكود”. وتمثل هذه البيانات إجمالي أكثر من نصف مليون تطبيق (592,720) استخدم جميع أنواع المسح، وأكثر من مليون عملية مسح للتحليل الديناميكي (1,034,855)، وأكثر من خمسة ملايين عملية مسح للتحليل الثابت (5,137,882) وأكثر من 18 مليون مسح لتحليل تكوين البرمجيات (18,473,203).
وأنتجت كل عمليات المسح 42 مليون نتيجة ثابتة أولية، و3.5 مليون نتيجة ديناميكية أولية، وستة ملايين نتيجة تحليل تكوين برمجيات أولية.
وتمثل البيانات الشركات الكبيرة والصغيرة وموردي البرمجيات التجارية ومتعاقدي البرمجيات الخارجيين والمشاريع المفتوحة المصدر. وفي معظم التحليلات، تم احتساب التطبيق مرة واحدة فقط، حتى لو تم إرساله مرات عدة إلى المكان الذي تمت فيه معالجة الثغرات الأمنية وتحميل إصدارات جديدة.