Alkalmazásbiztonság: állandóan ugyanabba a gödörbe esünk

Az alkalmazások biztonsága nehezen biztosítható úgy, ha rendszeresen ugyanazokat a hibákat követjük el.
 

A Micro Focus elemzése szerint az alkalmazások közel négyötöde tartalmaz legalább egy kritikus vagy súlyos sebezhetőséget. Fontos, hogy a fejlesztők mindent megtegyenek azért, hogy kiküszöböljék a sérülékenységekből fakadó kockázatokat. A biztonsági cég szakértői összegyűjtötték a leggyakoribb veszélyeket és nehézségeket, amelyek felmerülhetnek az alkalmazások biztonsága kapcsán.
 
Gondterhelt várakozás
 
Gyakran előfordul, hogy hosszabb ideig tart, mire elkészül a hibajavítás a már felfedezett sérülékenységek orvoslására. Így az adott szoftvert használó szervezetek védtelenek maradhatnak még abban az esetben is, ha kiemelt figyelmet fordítanak arra, hogy naprakészen tartsák a rendszereiket.
 
Extra költségek
 
Általában igaz az, hogy minél tovább várunk egy probléma orvoslásával, annál több nehézséggel és költséggel jár a megoldása. Ez az élet számos területén jellemző, és nincs ez másképp az alkalmazások biztonsága kapcsán sem. Minél később kerül sor egy biztonsági rés befoltozására a fejlesztési ciklus során, annál többe kerül a folyamat.
 
Értelemszerűen akkor a legegyszerűbb és legolcsóbb a biztonsági hibák korrigálása, ha a kockázatok csökkentésére már a követelmények és az architektúra kialakításakor sor kerül.
 
Ismétlődő hibák
 
A fejlesztőknél is előfordulhat, hogy ugyanazokat a hibákat követik el újra és újra. A Micro Focus tapasztalatai szerint tipikusan ilyenek a bemeneti adatok, paraméterek ellenőrzésével kapcsolatos hiányosságok. Ezek pedig lehetőséget biztosíthatnak a támadók számára rosszindulatú kódokkal történő visszaélésekre.
 
Az Application Security Research nevű kutatás során a szakemberek 2015-ben a vizsgált alkalmazások 52 százalékában észleltek input validation típusú sebezhetőségeket. 2016-ban ez a szám 44 százalékra csökkent, majd 2017-ben újra visszaugrott 50 százalékra.
 
Előbb a fejlesztés, aztán a biztonság
 
Ha a biztonsági tesztelés nem része a DevOps folyamatoknak, akkor a hibák csak később derülnek ki, így azok javításáról később tudnak gondoskodni a szakemberek. A Micro Focus felmérése azt mutatta ki, hogy ezen a területen szerencsére javulás érzékelhető. Egyre több vállalatnál végeznek ugyanis automatizált biztonsági ellenőrzéseket a fejlesztés során.
 
A Micro Focus szakértői azt javasolják a vállalatok számára, hogy vértezzék fel fejlesztőiket a megfelelő eszközökkel, amelyek segítségével gyorsan és egyszerűen megtalálhatják, valamint javíthatják a hibákat.