Alkalmazásbiztonság: több a hiba, de kevésbé súlyos

A Micro Focus legfrissebb kutatása szerint az elmúlt évben nőtt a sebezhetőségek száma, különösen a webes és mobilos alkalmazásoknál, az automatizált teszteszközök segítségével azonban jelentősen csökkenthetők a kockázatok.

A legfrissebb Application Security Risk Report szerint jelentősen nőtt a feltérképezett és bejelentett sebezhetőségek száma, a súlyosságuk azonban összességében csökkent az utóbbi években. 2014 óta az elmúlt évben volt a legalacsonyabb (26 százalék) a nagyon súlyos kategóriába sorolható hibák aránya. A Micro Focus szakértői szerint a felfedezett sebezhetőségek számának növekedése nem arra utal, hogy rosszabb szoftvereket készítenének a gyártók. Inkább azt mutatja, hogy egyre több helyen alkalmaznak automatizált és hatékonyan működő, pontos találatokat adó eszközöket a sérülékenységek felderítésére. A Micro Focus azt tapasztalta, hogy a több mint 11 ezer vizsgált webes alkalmazás 94 százalékánál előfordult valamilyen sérülékenység a biztonsági funkciókban. Az adatokból ráadásul az is kiderül, hogy a hibák ismétlődnek, vagyis ugyanazok maradtak a leggyakoribb sebezhetőségek az elmúlt évek során. Az előző évek eredményeihez hasonlóan az alkalmazások hetven százalékánál fordult elő beágyazási, hatvan százalékánál pedig bemeneti validációs hiba, míg 35 százaléknál az API-val való visszaélésre is lehetőséget nyitott egy-egy sebezhetőség.

A kutatás során hétszáz mobilalkalmazás adatait is megvizsgálták a Micro Focus szakértői, és arra a megállapításra jutottak, hogy a fejlesztők előrelépést mutattak néhány hibával kapcsolatban, például a találgatásos támadást (brute force) lehetővé tévő sebezhetőségek száma csökkent. Összességében azonban itt is nőtt a sérülékenységek száma. A biztonsági funkciókkal szinte az összes alkalmazás esetében (96 százalék) akadt probléma, beágyazási problémák 79 százalékukat érintették, míg 68 százalékuknál bemeneti validálási hibák fordultak elő. Az elemzés arra is rávilágított, hogy a vizsgált szervezetek 75 százaléka alkalmaz DevOps megközelítést vagy tervezi az erre történő átállást. Egyre több helyen elemzik, hogy mikor és milyen technológiákkal érdemes kutatni és javítani a különféle alkalmazásbiztonsági kockázatokat. A kutatás szerint a szervezetek több mint fele (58 százalék) a fejlesztési folyamat minden szakaszában teszteli a kódot, míg harminc százalékuk minden egyes kódváltoztatás után tesztet végez.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.