Отчет Veracode «State of Software Security 2024: Addressing the Threat of Security Debt» показывает, что разработчики не успевают за ростом числа критических дефектов ПО, сообщает портал ITPro Today.

Новое исследование компании Veracode, специализирующейся на тестировании безопасности приложений, выявило, что в большинстве организаций наблюдается значительное количество неустраненных уязвимостей ПО, или «долга безопасности».

В 14-м ежегодном исследовании были проанализированы данные более 1 млн. сканирований приложений для оценки текущей ситуации с долгом безопасности в ПО. В отчете дается определение долга безопасности как любого дефекта, который остается неустраненным более одного года, что позволяет уязвимостям накапливаться подобно финансовому долгу.

Основные выводы включают:

  • 71% организаций имеют долг безопасности, причем у 46% критические дефекты высокой степени серьезности сохраняются более одного года;
  • на устранение половины всех дефектов уходит в среднем девять месяцев, а на устранение дефектов сторонних разработчиков — на 50% больше;
  • 42% приложений имеют дефекты, сохраняющиеся более одного года и квалифицируемые как долг безопасности.

Разработчики не уделяют приоритетного внимания критическим дефектам

Среди самых удивительных выводов отчета — откровение о том, что разработчики в большинстве своем не отдают приоритет критическим дефектам при исправлении ошибок.

«Можно было предположить, что они в первую очередь будут работать над самыми важными, самыми серьезными, самыми критическими элементами, чтобы снизить риск в наибольшей степени, — говорит Крис Энг, директор по исследованиям Veracode. — Но на самом деле это не так. Над самыми серьезными проблемами работают не быстрее, и они не первоочередные».

Согласно исследованию Veracode, практически нет различий между тем, как разработчики определяют приоритеты и исправляют критические проблемы по сравнению с некритическими. Исследование не дает подкрепленного данными ответа на вопрос, почему так происходит, но у Энга есть несколько идей по этому поводу. «Мое предположение заключается в том, что разработчикам нужно очень много сделать, — говорит он. — Возможно, они вначале работают над тем, что, по их мнению, легче всего исправить».

Энг добавляет, что разработчики вполне могут быть сосредоточены на том, чтобы сделать все как можно быстрее, поэтому сперва исправляют ошибки с наименьшим количеством строк кода. При таком подходе разработчик может исправить больше ошибок за день, чем если бы он сосредоточился на критических проблемах, решение которых может быть более сложным и длительным.

Источник: отчет Veracode «State of Software Security 2024: Addressing the Threat of Security Debt»

Долг безопасности распространен среди всех типов приложений

Большой объем дефектов безопасности, которые приходится устранять разработчикам, является одной из основных проблем, отмеченных в отчете.

По данным Veracode, в типичной организации каждое третье приложение содержит долг безопасности. Неудивительно, что больше всего такого долга накоплено в крупных унаследованных приложениях.

В отчете указывается, что долг безопасности возникает из-за неустраненных дефектов как в коде, разработанном собственными силами (63% приложений), так и в библиотеках сторонних разработчиков (70%). Однако устранение дефектов в коде сторонних разработчиков занимает на 50% больше времени.

Ключи к сокращению долга безопасности

В отчете предлагается несколько рекомендаций по устранению долга безопасности, в том числе:

  • Первоочередное внимание устранению критических, высокосерьезных дефектов давностью более 1 года, которые, хотя и составляют всего 3% от всех дефектов, но представляют наибольший риск.
  • Интеграция сканирования и тестирования в весь жизненный цикл разработки ПО.
  • Переход к непрерывному устранению дефектов для их более быстрого исправления.
  • Повышение компетентности разработчиков в области безопасности путем практического обучения.
  • Разработка стратегии защиты цепочки поставок ПО с открытым исходным кодом.