Według nowego badania, w pierwszym roku istnienia jedna trzecia aplikacji (5%) ma luki w zabezpieczeniach, a w wieku XNUMX lat liczba ta wzrasta do ponad dwóch trzecich (XNUMX%).
Nowy raport Veracode ujawnił, że firmy muszą wcześnie, często i na różne sposoby znajdować usterki, aby zminimalizować ryzyko wystąpienia trudnych problemów na drodze.
Firma zbadała ponad 3/XNUMX miliona aplikacji pochodzących od komercyjnych dostawców oprogramowania, dostawców oprogramowania oraz projektów open source i stwierdziła, że po początkowym wprowadzeniu błędów aplikacje zazwyczaj wchodzą w „okres księżyca” stabilności: praktycznie osiemdziesiąt %. nie wprowadzać nowych usterek przez pierwsze półtora roku.
kosztowne błędy
Potem niektórzy programiści znów zaczynają być niechlujni, a liczba nowych błędów wprowadzonych do kodu wzrasta do około trzydziestu pięciu procent po 5 latach.
Veracode twierdzi, że brak wczesnej reakcji na naruszenia bezpieczeństwa może skutkować ogromnymi kosztami, powołując się na ostatnie raporty, że przeciętne naruszenie danych kosztuje obecnie XNUMX milionów euro.
Zamiast tego programiści powinni zrobić wiele rzeczy, aby zmniejszyć prawdopodobieństwo wprowadzenia błędów, w tym szkolić programistów i korzystać z wielu rodzajów analiz, w tym analitycznych interfejsów API.
Częstotliwość skanowania jest również ważnym czynnikiem, dodała firma. Oprócz tego muszą jak najszybciej zająć się kwestiami technicznymi i związanymi z bezpieczeństwem, nadać priorytet szkoleniom programistów w zakresie automatyzacji i bezpieczeństwa oraz ustanowić protokół do zarządzania cyklem życia aplikacji, który integruje zarządzanie zmianami. , alokacja zasobów i kontrole organizacyjne.
„Korzystanie z rozwiązania Software Composition Analysis (SCA), które wykorzystuje wiele źródeł luk, poza National Vulnerability Database, zapewni zespołom wczesne ostrzeżenie po ujawnieniu luki i pozwoli im szybciej dodawać zabezpieczenia, miejmy nadzieję, zanim rozpocznie się eksploatacja”. powiedział Chris Eng, dyrektor ds. badań w Veracode.
„Wskazane jest również zdefiniowanie zasad organizacyjnych dotyczących wykrywania luk w zabezpieczeniach i zarządzania nimi, takich jak szacowanie sposobów zmniejszenia zależności od stron trzecich”.