Az alkalmazások 79 százaléka tartalmaz veszélyes sebezhetőséget, ezért a sérülékenységek vizsgálata és javítása különös gondot igényel, hiszen a legapróbb hiba is komoly kibertámadások előtt tárhatja ki a kapukat. Többféle kockázat is fenyegeti a vállalatokat ezen a téren, a Micro Focus szakértői szerint azonban a megfelelő teszteszközökkel egyszerűen és gyorsan észlelhetők és javíthatók a sebezhetőségek.
A Micro Focus elemzése szerint az alkalmazások közel négyötöde tartalmaz legalább egy kritikus vagy súlyos sebezhetőséget. Az ilyen sérülékenységek komoly veszélyt jelenthetnek, hiszen a kiberbűnözők kihasználhatják a biztonsági réseket, és ezeken keresztül megtámadhatják a hibás szoftvereket használó szervezetek rendszereit. Fontos tehát, hogy a vállalatok mindent megtegyenek azért, hogy kiküszöböljék ezeket a problémákat, és minimalizálják a kockázatokat. A Micro Focus szakértői összegyűjtötték a leggyakoribb kockázatokat és nehézségeket, amelyek felmerülhetnek az alkalmazások biztonsága kapcsán.
Végtelen védtelenség
Gyakran előfordul, hogy hosszabb időbe telik, mire elkészül a hibajavítás a már felfedezett sérülékenységek orvoslására. Így az adott szoftvert használó szervezetek védtelenek maradnak még abban az esetben is, ha kiemelt figyelmet fordítanak arra, hogy naprakészen tartsák rendszereiket, és a már kiadott frissítéseket a lehető legrövidebb időn belül telepítsék.
A későn ébredők pluszköltségei
Minél tovább várnak egy probléma orvoslásával, annál több nehézséggel és költséggel jár a megoldása. Ez az élet számos területén jellemző, és nincs ez másképp az alkalmazások biztonsága terén sem: minél később jutnak el a sérülékenységek javításához a szoftverfejlesztési ciklusban, annál többe kerül a folyamat.
Értelemszerűen akkor a legegyszerűbb és legolcsóbb a biztonsági hibák korrigálása, ha arra még a követelmények és az architektúra kialakításánál kerül sor. Körülbelül ötször ekkora összeget igényel, ha a kódolás során javítják azokat, és tízszer nagyobbat, ha a komponensek tesztelésekor gondoskodnak a sérülékenységekről. A szám pedig akár a harmincszorosára is nőhet, ha a kiadásig várnak a sebezhetőségek kezelésével.
Ismétlődő hibák
Több fejlesztőcsapatnál előfordul, hogy ugyanazokat a hibákat követik el újra és újra. Tipikusan ilyen például az input validation hiba, amelynek során a szoftver nem ellenőrzi megfelelően a bevitt adatokat, ez pedig lehetőséget biztosít a támadók számára a rosszindulatú kódok bejuttatására.
A Micro Focus adatai alapján az ilyen jellegű sérülékenységek száma nem csökken. Az Application Security Research kutatás során 2015-ben a vizsgált alkalmazások 52 százalékában észleltek ilyen sebezhetőséget. 2016-ban ez a szám 44 százalék volt, majd 2017-ben újra visszaugrott 50 százalékra.
Előbb a fejlesztés, aztán a biztonság
Ha a biztonsági tesztelés nem része a DevOps folyamatoknak, akkor a hibák csak később derülnek ki, így azok javításáról is csupán később tudnak gondoskodni a szakemberek. A Micro Focus felmérése azt mutatta ki, hogy ezen a területen szerencsére javulás érzékelhető. Egyre több vállalatnál végeznek ugyanis automatizált biztonsági ellenőrzéseket a fejlesztés során, így időben kiadhatják a kódokat anélkül, hogy a sebesség a minőség rovására menne. 2016-ban a statikus alkalmazásbiztonsági tesztelés során feltárt hibáknak közel 30 százalékát javították 30 napon belül, míg ez a szám 2017-re már 87 százalékra nőtt.
A Micro Focus szakértői azt javasolják a vállalatok számára, hogy vértezzék fel fejlesztőiket a megfelelő eszközökkel, amelyek segítségével gyorsan és egyszerűen megtalálhatják és javíthatják a hibákat. A Fortify termékcsaláddal például a szoftverfejlesztési ciklus minden egyes lépésénél, automatizáltan tesztelhető az alkalmazások biztonsága. A helyben működtethető és felhőalapú változatban is elérhető megoldások révén proaktívan feltérképezhetők és orvosolhatók a sérülékenységek a fejlesztés és üzemeltetés során egyaránt.