Veracode: Sovellusten tietoturvan kehittämiselle on vielä tarvetta
Veracode on johtava ohjelmistojen tietoturvan analysointiin erikoistunut yritys. Tutkimuslaitos Gartner on arvioinut neljänä peräkkäisenä vuotena Veracoden johtavaksi toimijaksi ohjelmistojen turvallisuudessa.
Veracode on äskettäin julkaissut uuden SOSS (State of Software Security) -raportin. Vuosittain julkaistava raportti sisältää kattavan analyysin yli 700 000 sovelluksen skannauksesta saaduista tuloksista, kuten analyysit haavoittuvuuksien yleisyydestä ja miten niitä on korjattu, erot toiminnassa eri toimialojen välillä sekä paljon muuta.
Veracode on ottanut käyttöön myös uuden muuttujan: vikojen pysyvyys (flaw persistence), jolla saadaan parempi näkyvyys korjausten yhteydessä mahdollisesti tulevien virheiden taustatekijöihin. Tuloksista voidaan nähdä, että yli 70 % kaikista puutteista on edelleen olemassa kuukauden kuluttua löydöksestä, ja lähes 55 % on olemassa vielä kolme kuukautta ensimmäisen löydöksen jälkeen.
Lisäksi raportissa on todisteet/havainnot/esimerkit siitä, että DevSecOps -yksisarvisia on olemassa, ja että ne korjaavat virheet yli 11 kertaa nopeammin kuin muut yritykset keskimäärin.
Raportin saa pdf-muodossa Veracoden sivustolta. Raportti on ilmainen, mutta edellyttää rekisteröitymistä. https://info.veracode.com/report-state-of-software-security-volume-9.html
Numeroiden valossa
Raportin mukaan sovellusten tietoturvan kehittämiselle on vielä paljon tilaa. Esimerkiksi OWASPia noudattavien sovellusten määrä laski kolmatta vuotta peräkkäin.
OWASP Top 10 -tutkimuksen läpäisi vain 22,5 % tutkituista ohjelmista ja yli 85 % kaikista tutkituista ohjelmista sisälsi vähintään yhden haavoittuvuuden. Lisäksi 13 % sovelluksista sisälsi ainakin yhden vakavan haavoittuvuuden.
SecDevOps -vaikutus
Raportissa tulee esille voimakas korrelaatio skannausten lukumäärän ja kuinka nopeasti yritykset korjaavat haavoittuvuudet. DevOps- tms ketterät tiimit skannaavat usein ja ne tekevät pieniä korjauksia aina kun testaavat. Kuten oheisesta kuvasta nähdään, kun yritys saavuttaa 300 skannauksen rajan – todelliset SecDevOps -yksisarviset – korjaamisen nopeus menee todella ”ylivaihteelle”.
Virheiden korjaaminen ja niiden välttäminen ovat tietoturvallisen ohjelmistokehityksen keskeinen tavoite
Veracode tuotti yhdessä Cyentia -instituutin kanssa ensimmäistä kertaa tiedot virheiden pysyvyydestä. Uusi muuttuja antaa kuvan, miten yritykset korjaavat virheitä sekä paljastaa miten virheen tyyppi, sovelluksen kriittisyys ja skannauksen tiheys vaikuttavat korjauksen nopeuteen.
Avoimen lähdekoodin komponenttien aiheuttama riski on edelleen olemassa
Raportissa tarkastellaan myös avoimen lähdekoodilla toteutettuja sovelluksia. Havaintona todetaan, että avoimen lähdekoodin komponenttien hallinta on edelleen haasteena. Esimerkiksi edellisessä SSOS-raportin mukaan 88 % Javalla toteutetuissa sovelluksissa oli vähintään yksi haavoittuvuus. Uusimman raportin mukaan luku laski vain marginaalisesti 87,5 prosenttiin.
Tietoturvallinen sovelluskehitysprosessi
Tietoturvahaavoittuvuuksien korjaamisen nopeus heijastuu suoraan sovellusten aiheuttamaan tietoturvariskiin. Mitä nopeammin yritykset korjaavat haavoittuvuudet, sitä pienempi on sovelluksen aiheuttama riski.
Avointen virheiden määrä sovelluksissa tarkoittaa, että kehitystiimien on löydettävä tehokkaita tapoja priorisoida, mitä virheitä ne korjaavat ensin. Raportissa todetaan, että yritykset kyllä tekevät hyvää työtä haavoittuvuuksien ja muiden tietoturvariskien korjaamisen priorisoimiseksi, mutta jättävät kuitenkin liian usein huomioimatta haavoittuvuuden vakavuuden ja/tai sovelluksen kriittisyyden.
Mitä johtopäätöksiä?
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja parantaa sovellusten tietoturvaa kehitysprosessin alusta aina tuotantokäyttöön asti. Palvelu sopii kaikenlaisiin sovelluskehitysprosesseihin – manuaalisista täysin automatisoituihin. Veracoden palvelu opettaa tekemään tietoturvallista koodia ja näin auttaa
Secure Software Development Lifecycle – Tietoturvallinen ohjelmistokehitysprosessi
Tietoturvallinen sovelluskehitysprosessi Tietoturvallinen sovelluskehitysprosessi lyhyesti Turvallisessa sovelluskehitysprosessissa yhdistyy koodaajien ohjeistukset, tietoturvapolitiikan asettamat vaatimukset, johdon haluamat raportit sekä erilaisten standardien asettamat reunaehdot. Tietoturvan parantamisella ja lisäämisellä kehitysprosessiin pyritään tehokkaasti luomaan siltoja tietoturvan, sovelluskehityksen ja liiketoimintaprosessien välille. Samalla kun parannetaan tietoturvaa, tarjotaan mittareita ylöspäin johdolle ja käytännön ohjeita alaspäin tekijöille. Mitattavuudella voidaan
