يُظهر بحث Veracode الجديد أن المطورين يعالجون العيوب المنخفضة الخطورة بسرعة أكبر من العيوب الجسيمة؛ وتتيح الإمكانيات الجديدة للمؤسسات تحديد أولويات المعالجة الأهم
لاس فيجاس
مؤتمر Black Hat USA Conference (الجناح رقم 2536) – Veracode، وهي الشركة الرائدة عالميًا في إدارة مخاطر التطبيقات، أعلنت اليوم عن ابتكارات في المنصة لمساعدة المؤسسات في الكشف عن الديون الأمنية وتحديد أولوياتها وتقليلها عبر سطح الهجوم المتنامي لديها. بفضل Universal Connector وApplication Security Heatmap، وهما أحدث إمكانات متوفرة من Longbow المدعومة من Veracode، تستطيع المؤسسات الربط السريع للنتائج من أي مصدر ورؤية التطبيقات التي تساهم في وقوع أكبر قدر من المخاطر. يوفر كل من Universal Connector وApplication Security Heatmap معًا رؤية واضحة وتشغيلية للأصول والمشكلات، ما يسمح بتحديد أولويات إجراءات الإصلاح حسب المخاطر القابلة للقياس الكمي.
قال Chris Eng، كبير مسؤولي الأبحاث في شركة Veracode: “إن الجمع بين الديون الأمنية المتزايدة، وسطح الهجوم المتوسع الذي أصبح أكثر عرضة للخطر بسبب الذكاء الاصطناعي التوليدي، والقدر الهائل من التنبيهات الأمنية، هي أمور تصعِّب على المؤسسات معرفة مخاطر التطبيقات التي يجب تحديد أولوياتها. في الواقع، يُظهر بحثنا عن حالة أمن البرمجيات أن العديد من المؤسسات تركز بشكل أكبر على معالجة العيوب المنخفضة الخطورة بدلاً من التركيز على العيوب الجسيمة. يحتاج قادة الأمن إلى التكنولوجيا التي تمكنهم من الكشف عن مخاطر التطبيقات وإدارتها بشكل فعال، ومن ثم تقليل هذه المخاطر من خلال التركيز على القضايا الأكثر أهمية عبر سطح الهجوم بأكمله.
تحديد أولويات الديون الأمنية: الديون الحرجة مقابل غير الحرجة
في التقرير State of Software Security 2024 Language Snapshot، كشفت شركة Veracode عن تباين انتشار الديون الأمنية “الحرجة” و”غير الحرجة” بين التطبيقات المكتوبة بلغات مختلفة. تُعرف “الديون الأمنية الحرجة” في هذا التقرير بأنها عيوب شديدة الخطورة تظل من دون حل لمدة تزيد عن عام. وإذا تم استغلال هذه العيوب، فمن شأنها أن تعرض سلامة المنظمات وبقاءها لخطر جسيم.
وجد البحث أنه في حين أن معظم الديون الأمنية موجودة في تعليمات برمجية من جهة داخلية كتبها مطورون داخليون، فإن الديون الأمنية الأهم تكمن في تعليمات برمجية من جهات خارجية (على سبيل المثال، البرامج المفتوحة المصدر المستوردة إلى قاعدة التعليمات البرمجية). على سبيل المثال، 80 بالمائة من الديون المهمة في تطبيقات Java، و63 بالمائة في تطبيقات JavaScript، موجودة في تعليمات برمجية تابعة لجهة خارجية. ووجد التقرير أيضًا أن نحو 51 بالمائة من العيوب الخطيرة في تطبيقات Java تتحول إلى ديون أمنية، في حين أن نحو 45 بالمائة فقط من العيوب المنخفضة إلى المتوسطة تتحول إلى ديون أمنية.
وأضاف Eng قائلاً: “مع الحجم الهائل من العيوب الأمنية، لا يمنح المطورون الأولوية للعيوب التي تمثل أكبر قدر من المخاطر. وفي حين أن التركيز على العيوب غير الحرجة قد يؤدي إلى بعض الإصلاحات السريعة، يجب على المطورين استخدام قدراتهم المحدودة للعمل على إصلاح العيوب الجسيمة ذات التأثير المحتمل الأعلى في الأمن.”
وضوح الرؤية والأولويات أولاً: Universal Connector وApplication Security Heatmap
في إطار مواصلة الاستفادة من الاستحواذ على Longbow Security الذي تم في أبريل من هذا العام، وتوطين قدرات Repo Risk Visibility and Analysis لدى Longbow في شهر مايو، تم تصميم Universal Connector وApplication Security Heatmap مع أخذ وقت المطورين في الاعتبار. توفر الإمكانات مراقبة تشغيلية لمساعدة المطورين وفرق الأمان في تحديد أهم الإصلاحات وتحديد أولوياتها بسرعة للديون الأمنية المتزايدة عبر تطبيقاتهم.
يتيح Universal Connector للمؤسسات الوصول بسرعة إلى بيانات المصدر المتباينة التي لم تتمكن من جلبها إلى منصة Longbow، مما يعني أنها لن تضطر إلى انتظار إتاحة موصل خاص بالأداة. ويقوم Application Security Heatmap بتعيين التطبيق مرة أخرى إلى المالك وعرض اتجاه المخاطر لمدة 90 يومًا، بالإضافة إلى تمكين تخصيص حد المخاطر امتثالاً للسياسة التنظيمية. يمكن لفرق أمان التطبيقات والمطورين تحليل كل تطبيق وعرض توزيع المخاطر وتنفيذ التوصيات الخاصة بـ Best Next Action™ لمعالجة هذه المخاطر.
وقال Derek Maki، نائب رئيس إدارة المنتجات في شركة Veracode: “بينما تسعى المؤسسات إلى العثور على الديون الأمنية المهمة المتزايدة وإصلاحها، فإن الحاجة إلى الرؤية التي تركز على المخاطر وتحديد الأولويات واضحة تمامًا. توفر الإمكانات الجديدة في منصة Longbow لعملائنا فهمًا أعمق للتطبيقات الأكثر خطورة في المؤسسة، بالإضافة إلى القدرة الفريدة على تحديد الحلول الخمسة الأكثر تأثيرًا بشأن التحسين.”
بفضل عملية الاستحواذ على Longbow، تعمل Veracode على سد الفجوة بين فرق التطوير والأمن، ما يوفر الرؤية المستخلصة من مستودعات التعليمات البرمجية إلى الأصول السحابية ووقت التشغيل. تحدد Longbow أيضًا البنية التحتية كرمز ومخاطر التكوين الخطأ للأصول السحابية الناشئة من المستودعات.
