Пріоритезація боргових зобов’язань залишається проблемою для розробників, Veracode оголошує про інновації для визначення та уніфікації критичних ризиків

безпека програмного забезпечення

Нове дослідження Veracode показує, що для виправлення розробники віддають перевагу незначним недолікам перед серйозними.

Нові можливості дозволяють організаціям ефективніше розставляти пріоритети

Управління ризиками програми та безпека програмного забезпечення

Веракода, світовий лідер у галузі управління ризиками додатків, оголосив про останні інноваційні платформи, розроблені для того, щоб допомогти організаціям визначити, визначити пріоритети та зменшити заборгованість безпеки на їхній зростаючій поверхні атак. Універсальний конектор і теплова карта безпеки додатків, дві нові функції Longbow на базі Veracode, дозволяють організаціям швидко з’єднувати результати з будь-якого джерела, співвідносячи їх із програмами, які мають найвищий рівень ризику. Разом Universal Connector і Heatmap безпеки додатків надають чітке, практичне уявлення про активи та їхні проблеми, дозволяючи вам визначати пріоритетність дій щодо виправлення на основі ризику, який піддається кількісній оцінці.

«Зростаюча заборгованість за безпеку, розширення поверхні атак стає більш уразливоюштучний інтелект генерація та величезна кількість сповіщень безпеки ускладнюють для компаній визначення, яким ризикам програми слід віддати пріоритет», — пояснює Кріс Енг, головний науковий співробітник Veracode.

«Насправді наше дослідження стану безпеки програмного забезпечення показує, що багато організацій більше зосереджуються на виправленні незначних недоліків, а не на критичних уразливостях. Керівникам безпеки потрібна технологія, яка дозволить їм ефективно виявляти й керувати ризиками додатків, а потім зменшувати їх, зосереджуючись на найважливіших проблемах на всій поверхні атаки».

Пріоритети заборгованості за безпекою: критичні та некритичні

У своєму огляді мови стану безпеки програмного забезпечення 2024 року Veracode виявила наявність кількох «критичних» і «некритичних» проблем безпеки в програмах, написаних різними мовами. Критичний борг безпеки визначається в цьому звіті як недолік високого ступеня серйозності, який залишається невирішеним протягом більше одного року. У разі використання цих уразливостей серйозно загрожуватиме цілісності та доступності організацій.

Незважаючи на те, що більшість заборгованості безпеки присутня у коді першої сторони, написаному розробниками, які є органіками для організацій, дослідження Veracode виявили, що найбільш критична заборгованість за безпекою знаходиться в коді сторонніх розробників, наприклад програмному забезпеченні з відкритим кодом, яке використовується як основа коду продукту. Наприклад, 80% критичної заборгованості в додатках Java і 63% у програмах JavaScript знаходяться в коді сторонніх розробників. У звіті також виявлено, що приблизно 51 відсоток критичних недоліків у програмах Java призводять до боргів за безпеку, тоді як лише 45 відсотків недоліків низького та середнього рівня призводять до боргів за безпеку.

«З огляду на величезну кількість недоліків безпеки, розробники не віддають перевагу тим, які становлять найбільший ризик. Хоча зосередження уваги на некритичних уразливостях може призвести до деяких швидких виправлень, розробники повинні використовувати свої обмежені можливості для роботи над усуненням критичних недоліків із найбільшим потенційним впливом на безпеку», – додає Кріс Енг.

Недоліки в додатках Java, які стають критичними та некритичними
Недоліки в програмах Java, які стають критичними та некритичними боргами безпеки (Графіка: Business Wire)

Видимість і пріоритет насамперед: Теплова карта універсального з’єднувача та безпеки додатків

Дотримуючисьпридбання компанії Longbow Security Veracode у квітні минулого року та запровадження цієї функції Видимість і аналіз ризиків репо Longbow у травні, Universal Connector і Application Security Heatmap були розроблені з урахуванням часу розробника. Ці можливості забезпечують оперативний нагляд, щоб допомогти розробникам і командам безпеки швидко визначити та визначити пріоритетність найважливіших виправлень для зростаючої заборгованості безпеки в їхніх програмах.

Універсальний конектор дозволяє організаціям швидко отримувати доступ до важливих для безпеки даних між джерелами, які інакше не можна було б легко інтегрувати в платформу Longbow, без необхідності розробки спеціального конектора. Теплова карта безпеки програми детально відображає програму, щоб показати окремих розробників (включно зі сторонніми особами), які розробили окремі компоненти, показує тенденцію ризику за попередні 90 днів і дозволяє налаштувати прийнятний поріг ризику відповідно до критеріїв конкретної організації. . Команди безпеки програм і розробники можуть проаналізувати кожну програму, візуалізувати розподіл ризиків і реалізувати 5 найкращих рекомендацій «Best Next Action™» для усунення ризику.

«Організації намагаються виявити та розв’язати борги, що зростають, але існує очевидна потреба у зосередженій на ризиках видимості та визначенні пріоритетів», — коментує Дерек Макі, віце-президент із управління продуктами Veracode. «Нові можливості платформи Longbow надають нашим клієнтам глибше розуміння найризикованіших додатків організації, а також унікальну можливість визначити п’ять найбільш ефективних рішень для покращення стану безпеки».

Завдяки придбанню Longbow Veracode може подолати розрив між командами розробки та безпеки, забезпечуючи видимість від сховищ коду до хмарних ресурсів і середовища виконання. Longbow також визначає ризик систем інфраструктури як коду та неправильної конфігурації хмарних ресурсів зі сховищ.

Універсальний роз’єм Longbow і Heatmap безпеки програми вже доступні. Для отримання додаткової інформації ви можете відвідати спеціальний веб-сайт.

Повний звіт про стан безпеки програмного забезпечення 2024 Language Snapshot доступний для завантаження за адресою Веб-сайт Veracode.

Стан безпеки програмного забезпечення 2024

У звіті Veracode State of Software Security 2024 проаналізовано дані великих і малих компаній, постачальників комерційного програмного забезпечення, аутсорсерів програмного забезпечення та проектів з відкритим кодом. Дослідження базується на понад одному мільйоні (1.007.133 1.553.022 11.429.365) додатках для всіх типів сканування, 96 4 12,2 скануваннях динамічного аналізу та XNUMX XNUMX XNUMX скануваннях статичного аналізу. Усі ці сканування дали XNUMX мільйонів необроблених статичних результатів, XNUMX мільйони необроблених динамічних результатів і XNUMX мільйона необроблених результатів аналізу складу програмного забезпечення.

Веракода

Veracode є світовим лідером у сфері управління ризиками додатків у епохуштучний інтелект. Завдяки трильйонам рядків сканованого коду та власному механізму виправлення штучний інтелектплатформі Veracode довіряють компанії в усьому світі для створення та підтримки безпечного програмного забезпечення, від створення коду до хмарного розгортання. Тисячі провідних світових команд розробників і безпеки використовують Veracode щосекунди, щодня, щоб отримати точне й дієве бачення ризиків експлойтів, усунення вразливостей у реальному часі та масштабне зменшення заборгованості за безпеку. Veracode – це визнана компанія, яка пропонує можливості безпеки протягом усього життєвого циклу розробки програмного забезпечення, включаючи Veracode Fix, статичний аналіз, динамічний аналіз, аналіз складу програмного забезпечення, безпеку контейнерів, програми та тести на проникнення.

Щоб дізнатися більше, відвідайте сайт www.veracode.com, то Блог Veracode, LinkedIn e Twitter.

© 2024 Veracode, Inc. Усі права захищено. Veracode є зареєстрованою торговою маркою Veracode, Inc. у Сполучених Штатах і може бути зареєстрована в деяких інших юрисдикціях. Усі інші назви продуктів, бренди чи логотипи є власністю відповідних власників. Усі інші торгові марки, згадані тут, є власністю відповідних власників.

Дивіться оригінальну версію на businesswire.com: https://www.businesswire.com/news/home/20240801258100/it/

Натисніть Контакти

AxiCom
Сандро Буті, Анджела Спьяджі, Лоренцо Боргі
veracode_italy@axicom.com

Постійне посилання: http://www.businesswire.com/news/home/20240801258100/it

Авторе

  • Прес-релізи Businesswire. Business Wire, компанія Berkshire Hathaway, є світовим лідером у розповсюдженні прес-релізів і розкритті нормативної інформації.

    Переглянути всі статті