تواجه أكثر من 70% من المؤسسات شبح الوقوع في الديون الأمنية وما يقرب من 50% منها يقع في خطر الديون "الحرجة"
يكشف تقرير حالة أمن البرمجيات لعام 2024 عن أن هناك تعليمات برمجية تابعة لجهة خارجية هي العنصر الرئيسي في هذا الواقع، حيث ينشأ ثلثا الديون الحرجة من المكتبات مفتوحة المصدر
تستغرق معالجة الثغرات التي سببتها الجهة الخارجية وقتًا أطول بنسبة 50%، لكن فرق التطوير التي تبادِر إلى التصرُّف بسرعة يمكنها خفض الديون الأمنية الحرجة بمقدار 4 أضعاف
كشفت شركة Veracode، إحدى الشركات الرائدة عالميًا في مجال أمن البرمجيات الذكية، اليوم عن تقريرها السنوي لحالة أمن البرمجيات (SoSS) 2024، الذي يسلط الضوء على المسألة الملحة المتمثلة في الديون الأمنية في الطلبات. الديون الأمنية التي تم تعريفها في هذا التقرير على أنها ثغرات لم يتم معالجتها لمدة تزيد عن عام، لا زالت قائمة في 42 بالمائة من التطبيقات و71 بالمائة من المؤسسات. واتضح أن 46% من المؤسسات تعاني من ثغرات مستمرة وعالية الخطورة تُشكِّل ديونًا أمنية "حرجة"، مما يعرض الشركات لمخاطر جسيمة من حيث التأثير على السرية والنزاهة والتوفُّر.
ووفقًا للبيانات الصادرة عن التقرير، فإن ما يقرب من 63 بالمائة من التطبيقات بها ثغرات في تعليمات برمجية تابعة لطرف أول، في حين أن 70 بالمائة منها تنطوي على ثغرات في تعليمات برمجية تابعة لجهة خارجية مستوردة عبر مكتبات تابعة لجهة خارجية كذلك. وهذا الأمر يبرز أهمية اختبار كلا النوعين طوال دورة حياة تطوير البرمجيات. تختلف معدلات المعالجة أيضًا حسب نوع الثغرة، حيث تستغرق معالجة الثغرات التابعة لجهة خارجية وقتًا أطول بنسبة 50 بالمائة، في الوقت الذي تتم فيه معالجة نصف الثغرات المعروفة بعد 11 شهرًا، مقارنةً بقضاء سبعة أشهر في معالجة الثغرات التابعة لطرف أول.
ومع ذلك، هناك أخبار سارة: انخفضت الثغرات الأمنية شديدة الخطورة في التطبيقات بمقدار النصف منذ عام 2016، مما يشير إلى إحراز تقدُّم في ممارسات أمان البرمجيات وأن سرعة المعالجة لها تأثير مادي على ديون السندات الحرجة.
كما يكشف تقرير SoSS لعام 2024 أن فرق التطوير التي تعمل على معالجة الثغرات بشكل أسرع تقلل من الديون الأمنية الحرجة بنسبة 75 بالمائة - من 22.4 بالمائة من التطبيقات إلى ما يزيد قليلاً عن خمسة بالمائة. وعلاوة على ذلك، فإن هذه الفرق التي تبادِر إلى التصرُّف سريعًا أقل ميلاً بمقدار أربع مرات للسماح بوجود ديون أمنية حرجة في تطبيقاتها في المقام الأول.
صرَّح Chris Eng، كبير مسؤولي الأبحاث في شركة Veracode قائلاً: "إزاء مواصلة عملنا على أن نشهد تحسينات في المشهد الأمني، فإن هذه النتائج هي بمثابة دعوة للفت انتباه المؤسسات لمعالجة الديون الأمنية الخاصة بها بشكل مباشر. ومن خلال إيلاء أولوية قصوى لمعالجة الثغرات، والتركيز على أمان التعليمات البرمجية التابعة لجهة خارجية، واعتماد ممارسات التطوير الفعَّالة، يمكن للمؤسسات تقليل الديون الأمنية الخاصة بها بشكل كبير وتعزيز الحالة العامة لأمن البرمجيات في جميع المجالات."
معالجة الذكاء الاصطناعي وسلسلة توريد البرمجيات
بينما نعيش في حقبة زمنية يُحدث فيها الذكاء الاصطناعي ثورة سريعة في تطوير البرمجيات، يسلط التقرير الضوء على موضوع بالغ الأهمية. واصل Chris حديثه قائلاً: "بالرغم من السرعة والكفاءة التي يوفرها الذكاء الاصطناعي في تطوير البرمجيات، إلا أنه لا ينتج بالضرورة تعليمات برمجية آمنة. أظهرت الأبحاث أن 36 بالمائة من التعليمات البرمجية التي تم إنشاؤها بواسطة GitHub CoPilot تحتوي على ثغرات أمنية." يُشكِّل هذا الانتشار للتعليمات البرمجية غير الآمنة على نطاق واسع خطرًا كبيرًا على المؤسسات وسلسلة توريد البرمجيات، مما يؤدي إلى تراكم الديون الأمنية بمرور الوقت.
تحديد أولويات المخاطر أمر لا غنى عنه
كشف بحث Veracode أيضًا أن قدرة المعالجة بين الفرق مقيَّدة، حيث أن 64 بالمائة فقط من التطبيقات لديها قدرة معالجة كافية للتخلص من الديون الأمنية الحرجة. وفي الواقع، يُظهر اثنان فقط من كل عشرة تطبيقات متوسط معدل معالجة شهري يتجاوز عشرة بالمائة من جميع الثغرات الأمنية. وهذ يُعدَّ دلالة على أنه حتى في الحالات التي تكون فيها قدرة الفرق على المعالجة كافية، فإنهم لا يعطون الأولوية للثغرات الحرجة.
وعلى الرغم من هذا، هناك أمل في النجاح. تُشكِّل ثلاثة بالمائة فقط من جميع الثغرات ديونًا أمنية حرجة، وتمثل هذه المجموعة الفرعية درجة التعرُّض الأكبر للمخاطر بالنسبة للتطبيقات. ومن خلال إيلاء أولوية قصوى للنسبة المُقدَّرة بثلاثة بالمائة، يمكن للمؤسسات الحد من المخاطر إلى أقصى درجة من خلال بذل جهود مركَّزة.
واختتم Chris حديثه قائلاً: "يمهد الذكاء الاصطناعي أيضًا الطريق أمام فرض حدود جديدة في مجال أمن البرمجيات من خلال تمكين المؤسسات من توسيع نطاق جهود الإصلاح ومعالجة الديون الأمنية المتراكمة التي طال أمدها بسهولة أكبر، فضلاً عن الثغرات الجديدة التي تنشأ. يمكن معالجة معظم تعداد نقاط الضعف الشائعة (CWEs) مع تصنيف خطورة من متوسط إلى مرتفع جدًا من خلال تعديلات التعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي من Veracode Fix."
يتوفَّر تقرير حالة أمن البرمجيات بالكامل لعام 2024 للتنزيل على الموقع الإلكتروني لشركة Veracode. للاطّلاع على التقرير والحصول على رؤى أعمق حول النتائج والتوصيات، يُرجى زيارة الموقع الإلكتروني. تتوفَّر أيضًا مدوَّنة تلخص النتائج الرئيسية للتقرير للقراءة.