بورلينغتون، ماساتشوستس — كشفت اليوم شركة "فيراكود"، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات الحديثة، عن البيانات التي يمكن أن توفر وقت المؤسسات وأموالها من خلال مساعدة المطورين على الحدّ من ظهور العيوب الأمنية وتراكمها في برمجياتهم. ووفق تقرير حالة أمن البرمجيات لشركة "فيراكود" لعام 2023، فإنّ تراكم العيوب مع مرور الوقت يؤدي إلى احتواء نحو 32 بالمائة من التطبيقات على عيوب تظهر في المسح الأول. وخلال فترة تشغيلها على مدى خمسة أعوام، تحتوي نحو 70 بالمائة من التطبيقات على عيب أمني واحد على الأقل. ومنذ عام 2010، تنشر "فيراكود" تقريرها السنوي الذي يلخص الاكتشافات الرئيسية من قاعدة عملائها المتنوعة.
وبينما يصل متوسّط تكلفة خرق البيانات إلى 4.35 مليون دولار أمريكي*، فينبغي على الفرق إعطاء الأولوية للمعالجة العيوب في المرحلة الأولية من دورة حياة تطوير البرمجيات لتقليل المخاطر الناجمة عن تراكم العيوب. وفي هذا السياق، قال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة "فيراكود": "على غرار جميع دراساتنا، شرعنا في تقديم رؤى يمكن للمطورين وضعها موضع التنفيذ على الفور. وانطلاقاً من نتائج هذا العام، برز اعتباران رئيسييان يتمثلان في كيفية تقليص فرص ظهور العيوب في المقام الأول، وسُبل تقليل أعداد تلك العيوب في التطبيقات. وإلى جانب ضوابط الوصول التقنية، تعتبر ممارسات التشفير الآمنة أكثر أهمية للأمن السيبراني في عام 2023 وما بعده".
غياب أي صلة مباشرة بين تطور التطبيق وظهور العيوب
بعد المسح الأولي، تدخل التطبيقات بسرعة فترة شهر من الاستقرار، ولا يواجه نحو 80 بالمائة منها أي عيوب جديدة على الإطلاق خلال أول عام ونصف العام. وبعد هذه المرحلة، يبدأ عدد العيوب الجديدة في التطبيقات بالارتفاع مجدداً ليبلغ 35 في المائة عند عتبة الخمسة أعوام.
ووجدت الدراسة أن تدريب المطورين، واستخدام أنواع المسح المتعددة، بما في ذلك المسح عبر واجهة برمجة التطبيقات، وتكرار المسح هي عوامل مؤثرة تساهم في تقليل احتمالية ظهور العيوب، ما يشير ضرورة اعتمادها من قِبل الفرق بصفتها مكونات أساسية في برامج أمن برمجياتها. وعلى سبيل المثال، فإنّ عدم إدراء عمليات المسح بشكل شهري يرتبط بزيادة فرصة اكتشاف العيوب عند إجراء المسح في نهاية المطاف. وتختلف العيوب في التطبيقات باختلاف نوع الاختبار، ما يبرز أهمية استخدام أنواع مسح متعددة لضمان عدم تفويت اكتشاف العيوب التي يصعب تحديدها.
هشاشة المصدر المفتوح
بالتزامن مع التركيز المتزايد على قائمة المواد البرمجية خلال العام الماضي، قام فريق أبحاث "فيراكود" أيضاً بفحص 30 ألف مستودع مفتوح المصدر تمت استضافتها بشكل عام على "جيت هاب". ومن المثير للاهتمام أنّ 10 بالمائة من المستودعات لم يكن لديها أي التزام بالتغيير في برمجية المصدر لمدة ستة أعوام تقريباً. وفي هذا الصدد، قال إنج: "إن استخدام حل تحليل تكوين البرمجيات ("إس سي إيه") الذي يستفيد من مصادر العيوب المتعددة، بما يتجاوز قاعدة بيانات العيوب الأمنية الوطنية، سيرسل تحذيراً مسبقاً للفرق فور الكشف عن عيوب أمنية وتمكينها من تنفيذ الإجراءات الوقائية بشكل أسرع، ونأمل ذلك قبل بدء التشغيل. ويُوصى أيضاً بوضع سياسات تنظيمية تتمحور حول الكشف عن العيوب الأمنية وإدارتها، بالإضافة إلى النظر في طرق تمكّن من تقليل تبعيات الأطراف الثالثة".
درهم وقاية خير من قنطار علاج: خطوات للنجاح
يكشف بحث "فيراكود" عن الخطوات الرئيسية التي يتعين على فرق التطوير والأمن اتخاذها وتشمل:
- معالجة الديون التقنية أو الأمنية (تراكم العيوب البرمجية بما يجعل الدفاع عن التطبيق أو البيانات صعباً أو حتى مستحيلاً) في أقرب وأسرع وقت ممكن. يجب أن يتراجع منحنى الإصلاح في وقت أبكر وأسرع لأن التطبيق سيحتوي على عيوب متراكمة في غضون عامين منذ تشغيله. ويستمر هذا الاتجاه التصاعدي، سواء من خلال زيادة التعقيدات خلال أعوام من النمو المطرد أو خفض التركيز على تطوير التطبيقات، ما يعني أن ثمة فرصة بنسبة 90 في المائة أن يحتوي التطبيق على عيب واحد على الأقل عند العشرة أعوام. ويساعد الفحص المتكرر باستخدام مجموعة متنوعة من الأدوات في العثور على العيوب التي قد تكون قد ظهرت أو تراكمت مع مرور الوقت وإصلاحها.
- إعطاء الأولوية للأتمتة وتوفير التدريب الأمني للمطورين لفهم العيوب التي يُرجح أن تظهر، بالإضافة إلى تقديم التقنيات التي تُتيح تجنّب ظهور العيوب تماماً. وبشكل عام، تُظهر البيانات فرصة بنسبة 27 في المائة لظهور عيوب جديدة في أحد التطبيقات في شهر معين. وينحفض هذا الاحتمال في المؤسسات التي تجري المسح بواسطة واجهة برمجة التطبيقات إلى 25 بالمائة. وتعمل المؤسسات التي استكملت 10 مختبرات أمنية - وهي منصة تدريب تقدم تجربة عملية للكشف عن العيوب ومعالجتها - على تقليص احتمالية حدوث عيوب بنسبة 1.8 في المائة في شهر معين.
- إنشاء بروتوكول معني بإدارة دورة حياة التطبيقات يتضمن إدارة التغيير وتخصيص الموارد والضوابط التنظيمية. ويتعين عليكم البحث فيما تبدو عليه مراحل الدعم ومراقبة الجودة في مؤسستكم. ويمكن أن تؤدي المناقشات الأولية إلى تقادم التطبيقات على النحو المخطط له ومراجعة العمليات وتدابير مراقبة الجودة المدمجة في هندسة المنتجات المستمرة.
واختتم جاي جاكوبس، المؤسس المشارك وعالم البيانات في معهد "سيينتيا"، الذي أعدّ التقرير بالتعاون مع شركة "فيراكود"، حديثه قائلاً: "بفضل تقرير حالة أمن البرمجيات لشركة ’فيراكود‘ لعام 2023، أعتقد أنّه من المشوّق البحث في تراكم العيوب والسلوكيات من خلال الاعتماد على البيانات لمدة عامين. وتتيح لنا البيانات الواسعة والعميقة تحديد أفضل الممارسات وبعض العوامل الدقيقة التي يجب معالجتها في المرحلة الأولية من عملية التطوير للحد من المخاطر في وقت لاحق".
حللت دراسة تقرير حالة أمن البرمجيات لشركة "فيراكود" لعام 2023 أكثر من ثلاثة أرباع مليون تطبيق خاصة بموردي البرمجيات التجارية ومتعاقدي البرمجيات الخارجيين والمشاريع مفتوحة المصدر.