Tämän blogikirjoituksen lähteenä on käytetty https://www.veracode.com/blog/research/announcing-10th-volume-our-state-software-security-report
Veracode saavutti tällä viikolla merkittävän virstanpylvään sovellusten tietoturvan saralla kun se julkaisi 10. State of Software Security (SOSS) -raportin. 10 SOSS-raporttia ja 80 000+ sovelluksen skannausta myöhemmin, Veracodelle on kertynyt paljon tietoa ja oivaltavia näkemyksiä sovellusten tietoturvan trendeistä ja parhaista käytännöistä. Uudessa raportissa on katsottu sovellusten tietoturvan kuvaa viimeisen 10 vuoden kuluessa ja siihen on koostettu huhtikuun 2018 ja maaliskuun 2019 välisenä aikana skannausten yhteydessä kerättyjä tietoja.
Mitä enemmän asiat muuttuvat, sitä enemmän ne pysyvät samana
Raportin mukaan tarkastelujakson aikana näkyy positiivista kehitystä, mutta edelleen on pitkä tie kuljettavana. Samat haavoittuvuudet esiintyvät edelleen kymmenen yleisimmän listalla. Ensimmäisessä skannauksessa vähintään yhden haavoittuvuuden sisältävien sovellusten määrä on pysynyt tasaisesti korkealla tasolla viimeisen 10 vuoden aikana. Tietoturvallisen koodauksen koulutus on selvästi edelleen kriittinen osa kaikkea tietoturvan kehitystä.
On siirrytty virheiden löytämiseen sijaan niiden korjaamiseen
Veracoden palveluista vastaava johtaja Pejman Pourmousa on tiivistänyt sovellusten tietoturvan toteamalla, että pelkkä skannaus ei johda turvalliseen sovelluskoodiin. Tämä periaate näyttää toteutuvan myös käytännössä. Kun tutkimusjakson tietoja verrataan viimeisen 10 vuoden tietoihin, käy ilmi, että kehittäjät keskittyvät korjaamaan löydettyjä turvallisuusongelmia ja -virheitä enemmän kuin koskaan aiemmin. Esimerkiksi puolella sovelluksista virheiden määrä laski (netto) tutkimusjakson aikana. 20 prosentilla sovelluksista ei ollut puutteita lainkaan tai niiden tila oli pysynyt ennallaan. Tämä tarkoittaa käytännössä, että 70% kehitystiimeistä on pitänyt vähintään korjaustahtinsa ennallaan tai jopa parantanut virheiden korjaamista.
Turvavelka kasvaa
Vaikka korjaamista on parannettu, suurin osa organisaatioista priorisoi vain uusimmat turvallisuusongelmat, kun taas vanhemmat jäävät vähemmälle huomiolle. Tätä kertynyttä korjausvelan havainnollistetaan SOSS-tiedoissa, ja se on nostettu yhdeksi kipupisteeksi Veracoden asiakkaiden kanssa käymissä keskusteluissa. Toki tämän vuoden raportti tarjoaa myös joitain vakuuttavia todisteita toimenpiteistä, miten organisaatiot voivat vähentäneet tätä velkaa. Erityisen paljon skannaavilla organisaatioilla on viisi kertaa vähemmän turvavelkaa kuin harvoin skannaavilla.
Kielellä on merkitystä
Numerot sen osoittavat.
Yhteenveto raportista
Lataa koko raportti osoitteesta https://info.veracode.com/report-state-of-software-security-volume-10.html
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Forrester: Veracoden käyttäjät voivat saavuttaa huomattavia säästöjä
Forresterin tutkimus osoittaa, että Veracodea käyttävien yritysten tietoturvaongelmien korjaamiseen käytetetty aika laskee jopa 90% aikaisempaan verrattuna. Tutkimuksen mukaan säästö on keskimäärin n. 5,1 MEUR (5,6 milj. $).
Veracode SCA – uudempi ja parempi
Veracode osti taannoin SourceClearin. Yhdistämällä ohjelmiston koostumuksen analyysin tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.
Miten sovelluskehittäjät voivat toteuttaa SecDevOps-käytäntöjä organisaatiossaan
DevSecOps on lähestymistapa, jossa turvalliset toimintamallit integroidaan DevOps-prosessiin. DevSecOps edistää joustavaa yhteistyötä kehittäjien (Dev), tietoturvan (Sec) ja tuotannon (Ops) -tiimien välillä.
Veracode SCA kirjastoanalyysi paljastaa haavoittuvuudet ja lisenssiriskit
Veracoden SCA-toiminto (Software Composition Analysis) havaitsee avoimen lähdekoodin kirjaston käyttöön liittyvät riskit, joita saattavat olla esim. vanhentuneet ja riskialttiit versiot. Lisäksi joihinkin avoimen lähdekoodin kirjastoihin saattaa liittyä myös lisenssiriski, jos sovellusta käytetään kaupallisiin tarkoituksiin.
Ymmärrä avoimen lähdekoodin riskit
Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.
