Veracode هي شركة أمن تطبيقات مقرها في بيرلينجتون ، ماساتشوستس. يوفر خدمة قائمة على السحابة الآلية لتأمين تطبيقات الويب والجوّال وتطبيقات الأطراف الثالثة. أصدرت الشركة المجلد الحادي عشر من تقريرها السنوي عن حالة أمان البرامج في ديسمبر الماضي. تكشف النتائج التي توصل إليها أن التطبيقات المعيبة هي القاعدة ، وأن المكتبات مفتوحة المصدر أقل موثوقية ، وأن الأمر يستغرق وقتًا طويلاً لتصحيح المشكلات.
تعتبر الشركة المجلد 11 من تقرير حالة أمان البرامج الخاص بها بمثابة تقرير استشرافي. تم إثراء الإصدار الحادي عشر من تقرير أمان البرامج ل Veracode
ببيانات من أكثر من 130.000 تطبيق تم مسحه ضوئيًا. لا توفر الاتجاهات التي تراها نظرة ثاقبة حول المخاطر التي تواجهها فرق التطوير والأمن بشكل منتظم ، ولكنها تسلط الضوء أيضًا على نقاط الضعف واللغات الأكثر خطورة التي يحتاج المطورون إلى الانتباه لها أثناء العمل.
وفقًا لـ Veracode ، من المهم اليوم للمطورين أن يكونوا قادرين على كتابة التعليمات البرمجية بشكل أسرع وأكثر كفاءة لتلبية متطلبات تطوير البرامج الحديثة. تعتقد الشركة أنه في حين أنه من الأسهل أكثر من أي وقت مضى العثور على الثغرات وإصلاحها باستخدام أدوات أمان التطبيق المناسبة (AppSec) ، لا تزال فرق التطوير تواجه فرق التطوير دائمًا تحديات لغوية محددة يمكن أن تتحول إلى عقبات. لهذا السبب يجب على المطورين النظر في اتجاهات تكرار الأخطاء في العديد من اللغات الشائعة.
سيسمح لهم ذلك بالحصول على فهم أفضل للمخاطر اليومية التي يواجهونها أثناء الترميز ويمكنهم استخدام هذه المعرفة لتوقع نقاط الضعف هذه قبل أن تصبح مشكلة.
في المجلد 10 من حالة أمان البرامج ، بحثت شركة Veracode في مدى انتشار الثغرات الأمنية في أكثر اللغات شيوعًا. وجدت الشركة أن بعض اللغات أكثر عرضة لأنواع معينة من الثغرات من غيرها. تعتبر تجاوزات المخزن المؤقت وأخطاء إدارة المخزن المؤقت من المشكلات الشائعة في C ++ ، ولكن إمكانيات إدارة المخزن المؤقت المضمنة للغات عالية المستوى مثل .NET و JavaScript تعني أن هذه العيوب تميل إلى أن تكون نادرة في هذه التطبيقات.
في هذا المجلد 11 من حالة أمان البرامج ، وجد Veracode أن الفروق بين اللغات لا تزال صحيحة: 59٪ من تطبيقات C ++ بها أخطاء عالية (وعالية جدًا) ، مقارنة بـ 9٪ فقط لتطبيقات JavaScript. البرنامج النصي معطوب قليلاً في Java ، حيث أن 24 ٪ فقط من المستخدمين لديهم أخطاء حرجة هذه المرة. في الأساس ، وجد التقرير أن 76٪ من التطبيقات التي تم فحصها تحتوي على أخطاء ، و 24٪ منها بها ثغرات تعتبر خطيرة للغاية.
حوالي 70٪ من التطبيقات ترث الثغرات الأمنية من مكتبات البرمجيات الحرة الخاصة بهم. بالإضافة إلى ذلك ، تعتبر Veracode أنه من المهم ملاحظة أن 30٪ فقط من التطبيقات بها أخطاء أمنية في مكتبات البرامج المجانية لديها أكثر من تلك الموجودة في الكود المكتوب داخليًا ، مما يشير إلى أنها ليست مجرد مشاريع البرمجيات الحرة التي يقع اللوم عليها.
في تقريرها لعام 2020 ، صرحت شركة Veracode أن المكتبات مفتوحة المصدر هي عبارة عن سطح هجوم هائل بسبب انتشارها في كل مكان.
يشير التقرير أيضًا إلى عدم وجود علاقة بين جودة الشفرة الداخلية وأخطاء البرامج المجانية ، مشددًا على أنه يجب على المطورين التحقق من أمان مكتبات البرمجيات الحرة ، بغض النظر عن جودة الكود الخاص بهم. فيما يتعلق بكيفية حل الأخطاء ، وجد Veracode أن 73٪ من الأخطاء التي وجدها في التقرير تم إصلاحها ، وهو تحسن كبير مقارنة بالسنوات السابقة عندما كان هذا الرقم في المتوسط 50٪.
على الرغم من هذه العلامة الجيدة ، لا يزال الأمر يستغرق ستة أشهر في المتوسط لإغلاق نصف نقاط الضعف المكتشفة. عندما يتعلق الأمر بأنواع الثغرات الأمنية التي تم اكتشافها ، يقول التقرير إن النتائج متوافقة مع السنوات السابقة.
وفقًا لتقرير Veracode ، ظلت الأنواع الرئيسية من الثغرات الأمنية ثابتة إلى حد ما على مر السنين. كشف المجلد 10 لعام 2019 أن تسرب المعلومات ومشكلات التشفير وحقن CRLF وعيوب جودة الكود هي أكثر أنواع الثغرات شيوعًا في التطبيقات. في بحث هذا العام ، لم تتزحزح الأنواع الثلاثة الأولى من الثغرات الأمنية ، وفي المرتبة الثالثة ، توجد مشكلات التشفير أيضًا في ما يقرب من اثنين من كل ثلاثة تطبيقات معيبة في هذا التقرير.
كان أكثر أنواع العيوب شيوعًا في تطبيقات .NET هو تسرب المعلومات ، بينما كانت البرمجة النصية عبر المواقع (XSS) لحقن PHP و CRLF لتطبيقات Java هي الأكثر شيوعًا. تم العثور على التقاطع الأول في الخلل الثاني الأكثر شيوعًا ، حيث تظهر جودة الشفرة لكل من تطبيقات .NET و Java. في الواقع ، هناك العديد من نقاط التداخل لتطبيقات .NET و Java ، وهو أمر منطقي نظرًا لأوجه التشابه بين هذين النظامين الأساسيين.
في حين أن تقسيم اللغة مفيد ، فإن هذا النوع من التحليل يشكل مخاطرة كبيرة ، لأنه يمكن أن يرفع بشكل مصطنع أنواعًا معينة من الثغرات. تعد البرمجة النصية عبر المواقع أيضًا العيب الأكثر شيوعًا في تطبيقات JavaScript ، ولكن هذا ينطبق على أقل من ثلث التطبيقات التي تم تحليلها. لذا فإن وضعها على نفس مستوى الخطورة مثل PHP يمثل مشكلة بعض الشيء ، حيث يوجد XSS في ثلاثة أرباع التطبيقات الممسوحة ضوئيًا. أصدرت Veracode أيضًا خريطة حرارية لأسوأ الأخطاء باللغات الأكثر شيوعًا.
من المثير للاهتمام أن نلاحظ أن اللغة التي تستخدم أقل مكتبات مفتوحة المصدر هي أيضًا اللغة التي تحتوي على أكبر عدد من الأخطاء: PHP. من خلال النظر إلى الخريطة الحرارية ، من السهل تحديد أي من اللغات الخمس الشائعة المضمنة لديها أسوأ أمان. بعد PHP ، هناك C ++ ، ثم Java ، و .Net ، و JavaScript ، و Python. يعمل النوعان الأخيران بشكل أفضل من المنافسة ، حيث توجد أسوأ الأخطاء في كل منهما في حوالي 30٪ فقط من التطبيقات. مقارنة بـ PHP ، حيث 74.6٪ من التطبيقات عرضة للبرمجة عبر المواقع ، فإن JavaScript و Python هي محركات أمان.
أخيرًا ، تعتقد Veracode أنه مهما كانت اللغة التي تختارها ، فمن الضروري تنفيذ أفضل الممارسات ، والتي تصفها الشركة في التقرير بأنها “الطبيعة مقابل الثقافة”. في جوهرها ، تتكون طبيعة التطبيقات من أشياء لا يمكن التحكم فيها ، في حين أن جوانب الإثراء هي تلك التي يمكنك التحكم فيها.
