Veracode の調査により、アプリの成長と老朽化に伴うセキュリティ欠陥の導入と蓄積を減らすための手順が明らかになった

  • アプリケーションの 30% 以上に最初のスキャンで欠陥が含まれています。 5 年までに、アプリの 70% 近くに少なくとも 1 つの欠陥がある
  • API によるスキャン、ハンズオン セキュリティ トレーニング、およびスキャン頻度が、時間の経過とともに欠陥の導入を減らす主な要因として特定されました

マサチューセッツ州バーリントン–(BUSINESS WIRE)–#AppSec— 最新のアプリケーション セキュリティ テスト ソリューションの大手グローバル プロバイダーである Veracode は本日、開発者がソフトウェアのセキュリティ欠陥の導入と蓄積を最小限に抑えるのに役立つことで、組織の時間と費用を節約できるデータを明らかにしました。 Veracode State of Software Security 2023 レポートによると、時間の経過とともに欠陥が蓄積され、アプリケーションの 32% 近くに最初のスキャンで欠陥が発見され、5 年間実稼働している時点で、70% 近くに欠陥が含まれています。少なくとも 1 つのセキュリティ上の欠陥。 Veracode は 2010 年から年次報告書を発行しており、その多様な顧客ベースから得られた重要な発見を要約しています。

データ侵害のコストは平均 435 万ドル* であるため、チームはソフトウェア開発ライフ サイクルの早い段階で修復を優先し、欠陥の蓄積によるリスクを最小限に抑える必要があります。 Veracode の最高研究責任者である Chris Eng 氏は次のように述べています。 今年の調査結果から、2 つの重要な考慮事項が明らかになりました。最初に欠陥が導入される可能性を下げる方法と、導入される欠陥の数を減らす方法です。 技術的なアクセス制御は別として、安全なコーディング プラクティスはすべて、2023 年以降のサイバーセキュリティにとって最も重要です。」

アプリの成長と欠陥の導入の間に直接的な相関関係はありません

最初のスキャンの後、アプリはすぐに安定性の「ハネムーン期間」に入り、80% 近くのアプリは最初の 1.5 年間、新しい欠陥をまったく受けません。 しかし、この時点以降、導入された新しい欠陥の数は再び上昇し始め、5 年後には約 35% になります。

この調査では、開発者のトレーニング、API を介したスキャンを含む複数のスキャン タイプの使用、およびスキャンの頻度が、欠陥が導入される可能性を減らすのに影響を与える要因であることがわかり、チームはそれらをソフトウェア セキュリティ プログラムの重要なコンポーネントにする必要があることが示唆されました。 たとえば、スキャンの間隔を数か月空けることは、最終的にスキャンを実行したときに欠陥が見つかる可能性が高くなることと相関します。 さらに、アプリの主な欠陥はテストの種類によって異なり、特定が難しい欠陥を見逃さないように複数のスキャンの種類を使用することの重要性が強調されています。

オープンソースの脆弱性

過去 1 年間、ソフトウェア部品表への注目が高まっていたため、ベラコードの研究チームは、GitHub で公開されている 30,000 のオープンソース リポジトリも調査しました。 興味深いことに、リポジトリの 10% は約 6 年間コミット (ソース コードの変更) を行っていませんでした。 Eng 氏は次のように述べています。 . サードパーティへの依存を減らす方法を検討するだけでなく、脆弱性の検出と管理に関する組織のポリシーを設定することもお勧めします。」

1 オンスの予防は 1 ポンドの治療に値する: 成功へのステップ

Veracode の調査により、セキュリティ チームと開発チームが取るべき重要なステップが明らかになりました。

  • 技術的またはセキュリティ上の負債に可能な限り早期かつ迅速に取り組みます。 アプリケーションには 2 年が経過するまでに欠陥が蓄積されるため、修正曲線はより早く、より速く低下する必要があります。 何年にもわたる着実な成長による複雑性の増大や、アプリケーション開発への関心の低下によるものであるかにかかわらず、この傾向は上昇し続けており、10 年以内にアプリケーションに少なくとも 1 つの欠陥が含まれる可能性が 90% あることを意味します。 さまざまなツールを使用して頻繁にスキャンすると、時間の経過とともに導入または蓄積された可能性のある欠陥を見つけて修正するのに役立ちます。

  • 自動化と開発者のセキュリティ トレーニングに優先順位を付けて、どの脆弱性が導入される可能性が最も高いか、および欠陥の導入を完全に回避する手法を理解できるようにします。 全体として、このデータは、特定の月にアプリケーションに新しい欠陥が導入される可能性が 27% であることを示しています。 API 経由でスキャンする組織は、この確率を 25% に減らします。 実践的な脆弱性の検出と修復の経験を提供するトレーニング プラットフォームである 10 のセキュリティ ラボを完了した企業は、特定の月に欠陥が導入される可能性も 1.8% 削減します。

  • 変更管理、リソース割り当て、および組織管理を組み込んだアプリケーション ライフサイクル管理プロトコルを確立します。 組織内のサポート可能性と品質管理のフェーズがどのようなものかを調査します。 最初の話し合いは、一部のアプリケーションの計画的陳腐化、および継続的な製品エンジニアリングに関連するプロセスと品質管理手段の見直しにつながる可能性があります。

Veracode がレポートを作成した Cyentia Institute の共同創設者兼データ サイエンティストである Jay Jacobs 氏は、次のように締めくくっています。 データの広さと深さにより、ベスト プラクティスを特定するだけでなく、開発プロセスの早い段階で対処して、後のリスクを最小限に抑える必要がある、より微妙な要因のいくつかを特定することができます。」

Veracode State of Software Security 2023 調査では、商用ソフトウェア サプライヤー、ソフトウェア アウトソーサー、およびオープンソース プロジェクトの 4 分の 3 を超えるアプリケーションを分析しました。 完全なレポートは、ここからダウンロードできます。

* IBM Security および The Ponemon Institute、「Cost of a Data Breach Report 2022」、2022 年 7 月、https://www.ibm.com/downloads/cas/3R8N1DZJ

ソフトウェアセキュリティレポートの現状について

Veracode State of Software Security 2023 レポートは、大小の企業、商用ソフトウェア サプライヤー、ソフトウェア アウトソーシング業者、およびオープンソース プロジェクトからのデータを分析しました。 このレポートには、すべてのスキャン タイプを使用した 4 分の 3 を超える (759,445) アプリケーション、100 万を超える (1,262,147) を超える動的分析スキャン、700 万を超える (7,522,989) を超える静的分析スキャン、および 1,800 万を超える ( 18,473,203) ソフトウェア構成分析スキャン。 これらすべてのスキャンにより、8,600 万の未加工の静的発見、370 万の未加工の動的発見、および 850 万の未加工のソフトウェア構成分析の発見が得られました。

ベラコードについて

Veracode は、安全なソフトウェアを作成し、セキュリティ侵害のリスクを軽減し、セキュリティおよび開発チームの生産性を向上させるための主要な AppSec パートナーです。 その結果、Veracode を使用する企業は、ビジネスと世界を前進させることができます。 プロセスの自動化、統合、速度、および応答性の組み合わせにより、Veracode は、企業が潜在的な脆弱性を見つけるだけでなく修正することに注力するために、正確で信頼できる結果を得るのに役立ちます。 詳細については、www.veracode.com、Veracode ブログ、LinkedIn、および ツイッター.

著作権 © 2023 Veracode, Inc. 無断複写・転載を禁じます。 Veracode は、米国における Veracode, Inc. の登録商標であり、他の特定の法域で登録されている場合があります。 他のすべての製品名、ブランド、またはロゴは、それぞれの所有者に属します。 ここに引用されているその他すべての商標は、それぞれの所有者の財産です。

連絡先

詳細については:

ケイティ・グウィリアム

kgwilliam@veracode.com

Copyright © acrofan/Business Wire 無断複写・転載を禁じます

Leave a Comment

Your email address will not be published. Required fields are marked *