שיחה עם נציג שיחה עם נציג צור קשר צור קשר אימייל אימייל

למרות מתקפות סייבר כמו תוכנת הכופר WannaCry

למרות מתקפות סייבר כמו תוכנת הכופר WannaCry סקר חדש קובע כי רכיבי קוד פתוח לא מקבלים את תשומת הלב הראויה מבחינת אבטחת מידע.

CA Veracode, המהווה חלק מתחום אבטחת המידע של CA Technologies, פרסמה נתונים ממחקר שנערך עם חברת ונסון בורן, ולפיו רק 52% מהמפתחים המשתמשים ברכיבים מסחריים או ברכיבי קוד פתוח באפליקציות שלהם מעדכנים רכיבים אלה כאשר יש הכרזה על נקודות תורפה חדשות בתחום אבטחת המידע. דבר זה מדגיש את חוסר המודעות של ארגונים לאבטחת מידע ומציב ארגונים בסיכון.

NessPRO, קבוצת מוצרי התוכנה של נס, היא מפיצת מוצרי CA Technologies בישראל.

תהליכי פיתוח תוכנה כגון DevSecOps סייעו לשפר אבטחת מידע של קוד שכותבים המפתחים. אולם, בתהליכי הפיתוח יש חשיבות למהירות וליעילות כדי לעמוד בקצב הדרישות של כלכלת האפליקציות. כתוצאה מכך, מפתחים מסתמכים על רכיבים ה"שואלים" תכונות ופונקציונליות מפרויקטים קיימים וספריות. מהמחקר עולה כי 83% מהנשאלים משתמשים ברכיבים מסחריים או רכיבי קוד פתוח – 73 רכיבים בממוצע באפליקציה.

בעוד שהרכיבים משפרים את יעילותם של המפתחים, והשימוש בהם נחשב כ-best practice, טמונים ברכיבים אלה סיכוני אבטחת מידע. למרות ממוצע של 71 נקודות תורפה באפליקציה הכוללת שימוש ברכיבי צד שלישי, רק 23 אחוזים מהנשאלים דיווחו על בדיקות לאיתור נקודות תורפה ברכיבים, בכל שחרור גירסה. הדבר יכול להיות תוצאה של העובדה שרק 71 אחוזים מהארגונים דיווחו שיש להם תכנית פורמלית לאבטחת מידע של אפליקציות (AppSec).

רק 53% מהארגונים שומרים רשימת מצאי של כל הרכיבים שבאפליקציות שלהם. על פי דוח מצב אבטחת התוכנה לשנת 2017 (SOSS), פחות מ -28% מהחברות עורכות composition analysis באופן שוטף כדי להבין אילו רכיבים נמצאים באפליקציות שלהן.

"אנו יודעים כי מפתחים דואגים ליצירת קוד מעולה, ופירושו של דבר יצירת קוד מאובטח", אמר פיט צ'סטנה, מנהל ה-developer engagement  ב-CA Veracode. "כדי להצליח, מפתחים צריכים לדעת בבירור מהי מדיניות אבטחת המידע ומהם הכלים שבאמצעותם ניתן לבדוק אם אכן פועלים לפי המדיניות. כאשר קיימת מטרה ברורה ואנו נותנים למפתחים גישה לכלים אלו, הם יכולים לשלב סריקה, בשלב מוקדם של מחזור החיים של פיתוח המערכות ((SDLC ולקבל החלטות מושכלות הלוקחות בחשבון את אבטחת המידע. כתוצאה מכך אנו רואים שיפור ניכר בפיתוח תוכנה מאובטחת."

הדו"ח מראה כי צוותי הפיתוח (44%) או אבטחת מידע (31%) נוטים להיות אחראים לתחזוקת רכיבי צד שלישי מסחריים ורכיבי קוד פתוח. ככל שגוברת המודעות סביב הסיכונים בקוד פתוח, כך האספקה למפתחים של פתרונות וחינוך להקטנת הסיכון הופכת למרכיב קריטי במפעל התוכנה המודרני, דבר המסייע לבנות אפליקציות טובות יותר, מאובטחות יותר, ובמהירות גבוהה יותר.

מתודולוגיה:
CA Veracode ביקשה מוונסון בורן לערוך סקר בקרב 400 מפתחי אפליקציות מארה"ב (200 משיבים), בריטניה (100 משיבים) וגרמניה (100 משיבים) כדי להבין את מידת הבשלות של אבטחת הרכיבים בארגון. הסקרים נערכו באופן מקוון בפברואר 2018.


פורסם לראשונה:
http://www.yedatech.co.il/yt/news.jhtml?value=26552