Большинство приложений по-прежнему содержит уязвимости из списка OWASP Top 10
Большинство приложений по-прежнему содержит уязвимости из списка OWASP Top 10
Большинство приложений по-прежнему содержит уязвимости из списка OWASP Top 10
20.04.2011
Компания проанализировала 4 900 приложений, представленных на рассмотрение клиентами в последние 6 месяцев, и обнаружила, что разработчикам следует еще многое узнать об обеспечении базовой безопасности своих приложений.
Удивительно, что мы по-прежнему сталкиваемся с таким большим количеством SQL-инъекций и уязвимостей межсайтового скриптинга, когда их достаточно легко устранить, отметил Мэтт Пичи, вице-президент EMEA, Veracode.
Более половины всех приложений не соответствуют принятым стандартам безопасности, более 80% веб-приложений содержат уязвимости из списка OWASP Top 10, где представлены самые распространенные уязвимости веб-приложений.
Это третье исследование Veracode (они проходя два раза в год) и его результаты показывают, что уровень обеспечения безопасности приложений остался прежним, хотя количество SQL-инъекций немного снизилось. Межсайтовый скриптинг, однако, остается самой распространенной проблемой.
Результаты исследования говорят о том, что коммерческие приложения оказываются менее безопасными чем те, что разрабатываются внутри компаний. Лишь 12% коммерческих приложений имеют приемлемый уровень безопасности при их первом анализе, в то время как 16% "внутреннего" кода было признано приемлемым.
Исследование измеряет безопасность на основе нескольких факторов, включая серьезность уязвимостей и критичность приложения, определенную клиентом. Также учитывается насколько быстро клиенты исправляют уязвимости и предоставляют приложения на повторный анализ.
Индустрия производства ПО сама по себе не показывает блестящих результатов. Среди приложений, предоставленных компаниями на тестирование, в среднем 66% неприемлемы с точки зрения уровня безопасности, и этот показатель даже выше для компаний, специализирующихся на производстве ПО для обеспечения безопасности (72%). Однако, компании безопасности улучшили среднее время устранения уязвимостей, сократив его с месяца до 3 дней.
Пичи заявил, что одна из причин очевидного отсутствия прогресса заключается в большом объеме приложений, которые необходимо проверять организациям. "Компании начинают относиться к проблеме более серьезно, но чтобы это было воплощено в полной мере, потребуется время", - сказал он. "Им приходится иметь дело с большим количеством уже существующих приложений, плюс скоро выйдут новые".
Исследование также показало, что некоторые компании проявляют больше интереса к качеству ПО, используемого партнерами. "Компании становятся все более осведомленными в области экосистемы ПО, и они предлагают нам на рассмотрение код от сторонних производителей", - отметил Пичи. "Предприятиям необходимо совместно с партнерами ввести внутренние стандарты безопасности". Согласно отчету, лишь 25% программ сторонних производителей были признаны приемлемыми во время первого теста.
По данным Пичи разработчики по-прежнему испытывают недостаток базового понимания безопасности. "Сегодня много новых, ярких людей с креативным мышлением, вышедших из университета. Они знают новые языки разработки приложений, но у них нет опыта, и они ничего не смыслят в безопасности", - сказал он.
Эта точка зрения подтверждается результатами испытаний, проведенных среди разработчиков некоторых клиентов Veracode. Они показали, что 50% разработчиков, прошедших экзамен Veracode по обеспечению фундаментальной безопасности приложений, получили оценку C или ниже. Более 30% получили неудовлетворительную оценку D или F.
Показатели на других экзаменах были немногим лучше. В безопасном кодинге для Java 48% разработчиков получили оценку C или ниже, в то время как в безопасном программировании для .NET и Introduction to Cryptography с оценкой C ушли 36%.
Иан Гловер, президент Council of Registered Ethical Security Testers (CREST), не был удивлен результатами. "Сообщество устало от необходимости постоянно иметь дело с одними и теми же старыми проблемами, связанными с приложениями", - сказал он. Он предсказал, что ситуация даже ухудшится, если хакеры разработают более изощренные техники, такие как APT (целевые атаки), а разработчики продолжат совершать те же самые ошибки. Он поведал, что большая часть программ, которые тестирует его организация, признается небезопасной и непригодной.
Copyright © 2018-2022, ООО "ГРОТЕК"