Разработчики ПО по-прежнему совершают фундаментальные ошибки в
программировании, которые позволяют хакерам с легкостью использовать
SQL-инъекции и совершать атаки на основе межсайтового скриптинга, говорит новое
исследование, проведенное фирмой по обеспечению безопасности приложений
Veracode.
Компания проанализировала 4 900 приложений, представленных на рассмотрение
клиентами в последние 6 месяцев, и обнаружила, что разработчикам следует еще
многое узнать об обеспечении базовой безопасности своих приложений.
Удивительно, что мы по-прежнему сталкиваемся с таким большим количеством
SQL-инъекций и уязвимостей межсайтового скриптинга, когда их достаточно легко
устранить, отметил Мэтт Пичи, вице-президент EMEA, Veracode.
Более половины всех приложений не соответствуют принятым стандартам
безопасности, более 80% веб-приложений содержат уязвимости из списка
OWASP Top 10, где представлены самые распространенные уязвимости
веб-приложений.
Это третье исследование Veracode (они проходя два раза в год) и его
результаты показывают, что уровень обеспечения безопасности приложений остался
прежним, хотя количество SQL-инъекций немного снизилось. Межсайтовый скриптинг,
однако, остается самой распространенной проблемой.
Результаты исследования говорят о том, что коммерческие приложения
оказываются менее безопасными чем те, что разрабатываются внутри компаний. Лишь
12% коммерческих приложений имеют приемлемый уровень безопасности при их первом
анализе, в то время как 16% "внутреннего" кода было признано приемлемым.
Исследование измеряет безопасность на основе нескольких факторов, включая
серьезность уязвимостей и критичность приложения, определенную клиентом. Также
учитывается насколько быстро клиенты исправляют уязвимости и предоставляют
приложения на повторный анализ.
Индустрия производства ПО сама по себе не показывает блестящих результатов.
Среди приложений, предоставленных компаниями на тестирование, в среднем 66%
неприемлемы с точки зрения уровня безопасности, и этот показатель даже выше для
компаний, специализирующихся на производстве ПО для обеспечения безопасности
(72%). Однако, компании безопасности улучшили среднее время устранения
уязвимостей, сократив его с месяца до 3 дней.
Пичи заявил, что одна из причин очевидного отсутствия прогресса заключается в
большом объеме приложений, которые необходимо проверять организациям. "Компании
начинают относиться к проблеме более серьезно, но чтобы это было воплощено в
полной мере, потребуется время", - сказал он. "Им приходится иметь дело с
большим количеством уже существующих приложений, плюс скоро выйдут новые".
Исследование также показало, что некоторые компании проявляют больше интереса
к качеству ПО, используемого партнерами. "Компании становятся все более
осведомленными в области экосистемы ПО, и они предлагают нам на рассмотрение код
от сторонних производителей", - отметил Пичи. "Предприятиям необходимо совместно
с партнерами ввести внутренние стандарты безопасности". Согласно отчету, лишь
25% программ сторонних производителей были признаны приемлемыми во время первого
теста.
По данным Пичи разработчики по-прежнему испытывают недостаток базового
понимания безопасности. "Сегодня много новых, ярких людей с креативным
мышлением, вышедших из университета. Они знают новые языки разработки
приложений, но у них нет опыта, и они ничего не смыслят в безопасности", -
сказал он.
Эта точка зрения подтверждается результатами испытаний, проведенных среди
разработчиков некоторых клиентов Veracode. Они показали, что 50% разработчиков,
прошедших экзамен Veracode по обеспечению фундаментальной безопасности
приложений, получили оценку C или ниже. Более 30% получили неудовлетворительную
оценку D или F.
Показатели на других экзаменах были немногим лучше. В безопасном кодинге для
Java 48% разработчиков получили оценку C или ниже, в то время как в безопасном
программировании для .NET и Introduction to Cryptography с оценкой C ушли 36%.
Иан Гловер, президент Council of Registered Ethical Security Testers (CREST),
не был удивлен результатами. "Сообщество устало от необходимости постоянно иметь
дело с одними и теми же старыми проблемами, связанными с приложениями", - сказал
он. Он предсказал, что ситуация даже ухудшится, если хакеры разработают более
изощренные техники, такие как APT (целевые атаки), а разработчики продолжат
совершать те же самые ошибки. Он поведал, что большая часть программ, которые
тестирует его организация, признается небезопасной и непригодной.
