למרות המתקפות: אבטחת הקוד הפתוח לא מקבלת את תשומת הלב הראויה

CA Veracode, המהווה חלק מפעילות אבטחת המידע של CA Technologies, פרסמה נתונים ממחקר שערכה עם ונסון בורן, ולפיו רק 52% מהמפתחים המשתמשים ברכיבים מסחריים או ברכיבי קוד פתוח באפליקציות שלהם מעדכנים רכיבים אלה כשיש הכרזה על נקודות תורפה חדשות בתחום אבטחת המידע. דבר זה מדגיש את חוסר המודעות של ארגונים לאבטחת מידע ומציב ארגונים בסיכון.

NessPRO, קבוצת מוצרי התוכנה של נס, היא מפיצת מוצרי CA Technologies בישראל.

תהליכי פיתוח תוכנה, כגון DevSecOps, מסייעים לשפר אבטחת מידע של קוד שכותבים המפתחים. אולם, בתהליכי הפיתוח יש חשיבות למהירות וליעילות, כדי לעמוד בקצב הדרישות של כלכלת האפליקציות. כתוצאה מכך, מפתחים מסתמכים על רכיבים ה-"שואלים" תכונות ופונקציונליות מפרויקטים קיימים וספריות. מהמחקר עולה כי 83% מהנשאלים משתמשים ברכיבים מסחריים או רכיבי קוד פתוח – 73 רכיבים בממוצע באפליקציה.

בעוד שהרכיבים משפרים את יעילותם של המפתחים והשימוש בהם נחשב כ-Best practice, טמונים ברכיבים אלה סיכוני אבטחת מידע. למרות ממוצע של 71 נקודות תורפה באפליקציה הכוללת שימוש ברכיבי צד שלישי, רק 23% מהנשאלים דיווחו על בדיקות לאיתור נקודות תורפה ברכיבים בכל שחרור גרסה. הדבר יכול להיות תוצאה של העובדה שרק 71% מהארגונים דיווחו שיש להם תכנית פורמלית לאבטחת מידע של אפליקציות (AppSec).

כמו כן, רק 53% מהארגונים שומרים רשימת מצאי של כל הרכיבים שבאפליקציות שלהם. על פי דו"ח מצב אבטחת התוכנה לשנת 2017 (SOSS), פחות מ-28% מהחברות עורכות Composition analysis באופן שוטף כדי להבין אילו רכיבים נמצאים באפליקציות שלהן.

"אנחנו יודעים שמפתחים דואגים ליצירת קוד מעולה, ופירושו של דבר יצירת קוד מאובטח", אמר פיט צ'סטנה, מנהל ה-Developer engagement ב-CA Veracode. "כדי להצליח, מפתחים צריכים לדעת בבירור מהי מדיניות אבטחת המידע ומהם הכלים שבאמצעותם ניתן לבדוק אם אכן פועלים לפי המדיניות. כשקיימת מטרה ברורה ואנחנו נותנים למפתחים גישה לכלים אלה, הם יכולים לשלב סריקה בשלב מוקדם של מחזור החיים של פיתוח המערכות (SDLC) ולקבל החלטות מושכלות, שלוקחות בחשבון את אבטחת המידע. כתוצאה מכך אנחנו רואים שיפור ניכר בפיתוח תוכנה מאובטחת".

הדו"ח מראה כי צוותי הפיתוח (44%) או אבטחת המידע (31%) נוטים להיות אחראים לתחזוקת רכיבי צד שלישי מסחריים ורכיבי קוד פתוח. ככל שגוברת המודעות סביב הסיכונים בקוד פתוח, כך האספקה למפתחים של פתרונות וחינוך להקטנת הסיכון הופכים למרכיבים קריטיים במפעל התוכנה המודרני – דבר המסייע לבנות אפליקציות טובות יותר, מאובטחות יותר ובמהירות גבוהה יותר.

לקריאת הדו"ח המלא ניתן ללחוץ כאן. פרטים נוספים על פתרון ה-Software Composition Analysis של CA Veracode אפשר לקרוא כאן.

מתודולוגיה

CA Veracode ביקשה מ-ונסון בורן לערוך סקר בקרב 400 מפתחי אפליקציות מארצות הברית (200 משיבים), מבריטניה (100 משיבים) ומגרמניה (100 משיבים), כדי להבין את מידת הבשלות של אבטחת הרכיבים בארגון. הסקרים נערכו אונליין בפברואר 2018.