Глобальне опитування 1224 фахівців із безпеки, розробки та ІТ-операцій, опубліковане JFrog, показує, що 60% фахівців зазвичай витрачають чотири дні або більше на усунення вразливостей застосунків.
Однак дослідники безпеки JFrog відзначили, що, ймовірно, більшість із цих вразливостей не такі серйозні, як їх оцінюють.
Проаналізувавши 212 вразливостей, команда JFrog Security Research знизила ступінь серйозності 85% вразливостей, оцінених як критичні, і 73% вразливостей, оцінених як високі.
Дослідники JFrog також виявили, що 74% зареєстрованих типових вразливостей і вразливостей (CVE) із високими та критичними показниками CVSS, присвоєними 100 найкращим зображенням спільноти Docker Hub, насправді не можна було використовувати.
Дослідники зазначають, що лише 17% проаналізованих вразливостей уможливлюють віддалене виконання коду порівняно із 44%, які уможливлюють DoS-атаки.
Аналіз свідчить про те, що організації витрачають занадто багато часу на безпеку застосунків за рахунок продуктивності. Інструменти, які генерують сповіщення на основі серйозності, а не оцінки можливості використання вразливості, створюють забагато шуму, але не забезпечують достатнього контекстного аналізу.
І навпаки, за відсутності такого рівня детального аналізу можливо, що вразливість низького рівня, яка може бути особливо серйозною в конкретному ІТ-середовищі, може не піддаватися подальшому дослідженню.
Проте проблеми безпеки також обмежують інновації. 40% респондентів опитування зазначили, що через перевірки безпеки зазвичай потрібно тиждень або більше, щоб отримати дозвіл на використання нового пакету/бібліотеки.
Майже половина ІТ-фахівців (47%) стверджують, що використовують від чотирьох до дев’яти інструментів безпеки застосунків. Причому 90% повідомили, що використовують певні типи інструментів, які покладаються на алгоритми машинного навчання або інші форми штучного інтелекту для сканування, ідентифікації й усунення вразливостей.
Однак менше третини (32%) опитаних працюють в організаціях, які використовують для написання коду штучний інтелект. Цей відносно низький рівень свідчить про те, що багато організацій все ще не влаштовує якість коду, створеного ШІ.
Понад половина (53%) респондентів стверджують, що їхня організація використовує від чотирьох до дев’яти мов програмування, а майже третина (31%) повідомляє, що використовує 10 із них або навіть більше.
Найбільш часто використовуваними інструментами є статичне тестування безпеки застосунків (61%), динамічне тестування безпеки застосунків (58%), тестування аналізу складу програмного забезпечення (56%) і безпека інтерфейсу прикладного програмування (API) (56%).
89% опитаних сказали, що їхня організація запровадила систему безпеки, таку як OpenSSF або Supply-chain Levels for Software Artifacts (SLSA).
Опитування не виявило консенсусу щодо того, коли запускати сканування безпеки. 42% респондентів вважають, що найкраще виконувати сканування безпеки під час написання коду, а 41% віддає перевагу скануванню нових програмних пакетів перед їх встановленням. Водночас більше половини (56%) сказали, що їхня організація застосовує сканування безпеки як на рівні коду, так і на двійковому рівні.
Раніше ми повідомляли, що Microsoft додала до Visual Studio і VS Code захищений тунель, розміщений у хмарі. Це спрощує тестування API.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
