Veracoden vuosittaisessa tietoturvaskannausten tilastoraportissa, State of the Software Security (SOSS), listataan ja analysoidaan sovellusten yleisimpiä tietoturvapuutteita. Tarkastelun tavoitteena on ensisijaisesti auttaa tiimejä löytämään virheet ja puutteet; ja korjaamaan ne. Esimerkiksi OWASP Top 10– tai SANS25– tyyppiset virheet voivat olla vaaraksi sovelluksen tietoturvalle, jos niitä päästään hyödyntämään.
Tilasto
Analyysi
CRLF-injektiot eivät suinkaan ole ainoita tietoturvapuutteita, joita täytyy pitää silmällä. Kuten kuvasta näkyy, myös tietojen vuotaminen ja salaukseen liittyvät ongelmat ovat myös hyvin yleisiä; niitä löytyy lähes kahdesta kolmasosasta sovelluksia. Nämä kolme tietoturvapuutetta — CRLF-injektio, tietojen vuotaminen ja salausongelmat — ovat olleet listalla aina eli viimeiset kymmenen vuotta.
Onneksi on toki olemassa testattuja ja hyväksi todettuja keinoja, joiden avulla yleisimmät tietototurvapuutteet voidaan joko estää tai ainakin korjata. Esimerkiksi CRLF-injektion voi estää enkoodaamalla tulosteen HTTP-headeriin tai kirjautumiskenttiin, jotka muutoin ovat näkyvillä järjestelmänvalvojille ja käyttäjille. SQL-injektion voi estää toteuttamalla parametrisoituja kyselyitä.
Se tosiasia, että em. puutteet toistuvat vuosi vuodelta, nostaa esille tarpeen saada kehittäjille ja kehittäjille riittävästi koulutusta miten tietoturvallisen sovelluskehitystä tehdään. Kehittäjät eivät voi korjata virheitä, jos heillä ei ole tarvittavaa osaamista ja välineitä tehdä sitä.
Työkaluja?
Veracode julkisti viime vuonna Security Labs -opiskeluympäristön, jonka Community Edition -versio on kaikkien käytössä maksutta ja tarjoaa käytännön harjoituksia OWASP Top 10 -haavoittuvuuksien välttämiseen.
Lisää tietoturvapuutteista ja siitä, kuinka pysyviä ne ovat sovelluksissa sekä miten ohjelmointikieli vaikuttaa tietoturvapuutteiden esiintymiseen Veracoden Vulnerability Hall of Fame -verkkosivulta..
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa
Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.
Veracode State of Software Security 12
Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.
