Nem fogyatkoznak a biztonsági rések

​Az elmúlt évben tovább nőtt a sebezhetőségek száma, különösen a webes és a mobilos alkalmazások esetében.
 

A Micro Focus minden évben átfogó elemzést készít a szoftveres sebezhetőségekről. A legfrissebb, Application Security Risk Report című jelentés szerint a szervezetek egyes területeken már hatékonyabban kezelik az alkalmazásbiztonságot, de az éberségből továbbra sem engedhetnek.
 
Több a sebezhetőség, de nem olyan súlyosak
 
Tavaly jelentősen nőtt a feltárt és bejelentett sebezhetőségek száma, a súlyosságuk azonban összességében csökkent. 2014 óta az elmúlt évben volt a legalacsonyabb (26 százalék) a kritikus veszélyességi kategóriába sorolt hibák aránya.
 
A Micro Focus szakértői szerint a felfedezett sebezhetőségek számának növekedése nem feltétlenül arra utal, hogy rosszabb szoftvereket készítenek a gyártók. Inkább azt mutatja, hogy egyre több helyen alkalmaznak automatizált eszközöket a sérülékenységek felderítésére, és egyre nagyobb figyelem övezi a hibavadászatot.
 
Problémás webes alkalmazások
 
A több mint 11.000 vizsgált webes alkalmazás 94 százalékánál előfordult valamilyen sérülékenység. Az adatokból az is kiderül, hogy a hibákból továbbra sem sikerül tanulni, hiszen a leggyakoribb sebezhetőségek típusai nem változtak az elmúlt évek során. Az alkalmazások 70 százalékánál fordul elő befecskendezési hiba, 60 százalékánál bemeneti validációs hiányosság, míg 35 százalékuknál API-kal való visszaélésekre is lehetőség nyílhat.
 
Mobil alkalmazások: belépési pont a felhőszolgáltatásba
 
A kutatás során 700 mobilalkalmazást is megvizsgáltak a szakértők, és arra a megállapításra jutottak, hogy a fejlesztők előrelépést mutatnak néhány hiba kiküszöbölése terén. Például a brute force támadást lehetővé tévő sebezhetőségek száma csökkent. Összességében azonban a mobil appokat érintő sérülékenységek mennyisége emelkedett. Biztonsági funkciókkal szinte az összes alkalmazás esetében akadt probléma.
 
Hódít a DevOps
 
A Micro Focus elemzése arra is rávilágított, hogy a vizsgált szervezetek 75 százaléka alkalmaz DevOps megközelítést vagy tervezi az erre történő átállást. A kutatás szerint a szervezetek több mint fele a fejlesztési folyamat minden szakaszában teszteli a kódokat.
Vélemények
 
  1. 4

    A Visual Studio kritikus fontosságú hibajavításokhoz jutott hozzá.

  2. 4

    Az Adobe 21 biztonsági rést foltozott be a PDF-kezelő alkalmazásain.

  3. 2

    ​A Maze zsaroló program is fájlok titkosítását követően kezdi követelni a felhasználóktól a váltságdíjat.

 
Partnerhírek
Árnyék informatika: így törték fel a NASA laboratóriumát

Hihetetlen, de igaz – az amerikai űrügynökség laboratóriumánál közel egy évig nem vették észre, hogy valaki behatolt a belső hálózatba. A történetben fontos szerepet játszik az úgynevezett árnyék informatika is: a betörők egy olyan miniszámítógépen keresztül jutottak be a hálózatba, melynek létezéséről az IT osztály nem is tudott.

Akár 1,5 millió dollárt fizet a Google egy biztonsági hibáért

Az Apple után a Google is komolyra emelte a tétet a hibavadász programjában, ahol akár 1,5 millió dolláros jutalom ütheti a markát annak, aki a biztonsági hibát fedez fel a Titan M chipben. Persze ehhez kell némi (nagyon sok) szaktudás.

hirdetés
Közösség
1