स्टेट ऑफ सॉफ्टवेयर सिक्योरिटी रिपोर्ट का 13वां संस्करण, सॉफ्टवेयर परिदृश्य में रुझान और सुरक्षा प्रथाएं कैसे विकसित हो रही हैं, को प्रकाशित करता है। कुछ परिणाम चिंताजनक हैं: सार्वजनिक क्षेत्र में विकसित 82 प्रतिशत अनुप्रयोगों में कम से कम एक सुरक्षा भेद्यता पाई गई, जबकि निजी कंपनियों में यह आंकड़ा 74 प्रतिशत था।
सॉफ्टवेयर सुरक्षा स्थिति अध्ययन में पाया गया कि सार्वजनिक क्षेत्र के अनुप्रयोगों में निजी क्षेत्र के अनुप्रयोगों की तुलना में अधिक सुरक्षा कमजोरियाँ होती हैं। अनुप्रयोगों में त्रुटियों और कमजोरियों की अधिक संख्या बढ़े हुए सुरक्षा जोखिम से संबंधित है। यह अध्ययन साइबर सुरक्षा में सुधार के लिए कई वैश्विक सरकारी पहलों की पृष्ठभूमि के खिलाफ आयोजित किया गया था, जैसे कि ईयू साइबर लचीलापन अधिनियम, जिसका उद्देश्य डिजिटल तत्वों वाले उत्पादों के लिए अतिरिक्त न्यूनतम सुरक्षा आवश्यकताओं को पेश करना है। 27 अनुप्रयोगों में 750.000 मिलियन से अधिक स्कैन से डेटा के विश्लेषण ने वेराकोड की नवीनतम वार्षिक रिपोर्ट का आधार बनाया
सुरक्षा छेद वाले कई एप्लिकेशन
🔎 पिछले कुछ वर्षों में सार्वजनिक क्षेत्र में अन्य संगठनों की तुलना में कम कमजोरियाँ रही हैं (छवि: वेराकोड)।
शोधकर्ताओं ने पाया कि सार्वजनिक क्षेत्र के संगठनों द्वारा विकसित लगभग 82 प्रतिशत अनुप्रयोगों में कम से कम एक सुरक्षा भेद्यता थी। यह निजी कंपनियों के लिए 74 प्रतिशत की तुलना में है। अध्ययन के लिए डेटा पिछले 12 महीनों के भीतर एकत्र किया गया था। पहचानी गई भेद्यता के प्रकार के आधार पर, पिछले 12 महीनों में सार्वजनिक क्षेत्र के अनुप्रयोगों में भेद्यता निर्मित होने की 7-12 प्रतिशत अधिक संभावना थी।
अकेले संख्याएँ उन परिणामों को नहीं दर्शाती हैं जो तब घटित होते हैं जब हैकर्स बग और कमजोरियों का फायदा उठाते हैं। उदाहरण के लिए, पिछले साल अगस्त में, जर्मन चैंबर ऑफ कॉमर्स एंड इंडस्ट्री पर आपूर्ति श्रृंखला हमले का मतलब था कि उन्हें अपने आईटी सिस्टम और डिजिटल सेवाओं, टेलीफोन और ई-मेल सर्वर को पूरी तरह से बंद करना पड़ा। हमले के तुरंत बाद आवश्यक सेवाएँ फिर से उपलब्ध हो गईं, लेकिन पूर्ण कार्यक्षमता बहाल होने में एक महीने से अधिक समय लग गया।
सार्वजनिक क्षेत्र में गंभीर कमज़ोरियाँ
जब "उच्च गंभीरता" की कमजोरियों की बात आती है, तो सार्वजनिक क्षेत्रों का पलड़ा भारी रहता है। अध्ययन की 12 महीने की अवधि में, गंभीर सुरक्षा कमजोरियों वाले आवेदनों का प्रतिशत निजी कंपनियों (16,5%) की तुलना में सार्वजनिक क्षेत्र (19%) में कम था। यदि उच्च गंभीरता वाली कमजोरियों का शोषण किया जाए तो उनके पूरे सिस्टम को प्रभावित करने की अधिक संभावना होती है।
आधुनिक एप्लिकेशन परीक्षण स्टेटिक एप्लिकेशन सिक्योरिटी टेस्टिंग (एसएएसटी) और सॉफ्टवेयर कंपोजिशन एनालिसिस (एससीए) जैसे सुरक्षा स्कैनिंग टूल के उपयोग को प्रोत्साहित करता है। विभिन्न प्रकार के स्कैन विभिन्न प्रकार की कमजोरियों को उजागर कर सकते हैं। एसएएसटी और एससीए ने निजी उद्यम अनुप्रयोगों की तुलना में सार्वजनिक क्षेत्र के अनुप्रयोगों में दोषों का कम प्रतिशत पाया।
माफी से अधिक सुरक्षित
जब पुराने सॉफ़्टवेयर में स्कैन द्वारा नई कमज़ोरियाँ ढूंढने की दर की बात आती है तो सार्वजनिक और निजी क्षेत्रों के बीच एक बड़ा अंतर होता है। 5 वर्षों से उपयोग में आ रहे अनुप्रयोगों के लिए, निजी क्षेत्र में सुरक्षा कमियाँ बढ़ रही हैं, जबकि सार्वजनिक संगठनों में वे कम हो रही हैं। इस प्रवृत्ति से पता चलता है कि सार्वजनिक क्षेत्र के संगठन न केवल जीवन चक्र की शुरुआत में बल्कि कई वर्षों तक अपने अनुप्रयोगों की सुरक्षा पर ध्यान देते हैं।
'स्टेट ऑफ सॉफ्टवेयर सिक्योरिटी पब्लिक सेक्टर 2023 रिपोर्ट' चार कार्रवाइयों की सिफारिश करती है जो सरकारी एजेंसियां अपनी साइबर सुरक्षा स्थिति में सुधार के लिए कर सकती हैं:
- पकड़ें: ज्ञात बगों के बैकलॉग को यथाशीघ्र ठीक करने की आवश्यकता है।
- बार-बार स्कैनिंग: अनियमित स्कैनिंग से त्रुटियों को ठीक करना कठिन हो जाता है और अधिक बैकलॉग हो जाता है।
- स्वचालित करें: एपीआई के माध्यम से परीक्षणों को स्वचालित करने से, अनुप्रयोगों में त्रुटियों और दोषों से बेहतर तरीके से बचा जा सकता है।
- सुरक्षा स्टैक में DAST जोड़ना: उन कमजोरियों को खोजने के लिए गतिशील स्कैनिंग का उपयोग करें जो अन्य स्कैन प्रकारों में छूट जाती हैं।
“सार्वजनिक क्षेत्र ने अपने अनुप्रयोगों की सुरक्षा में सुधार करने में एक लंबा सफर तय किया है। हालाँकि, अधिकारियों को अपनी साइबर सुरक्षा में सुधार करने और नए खतरों से बचने में सक्षम बनाने के लिए अभी भी बहुत काम किया जाना बाकी है। अधिकांश साइबर उल्लंघनों के मूल कारण - एप्लिकेशन परत - पर अपने सुरक्षा प्रयासों को केंद्रित करके वे महत्वपूर्ण सुधार कर सकते हैं। विभिन्न परीक्षण विधियों का उपयोग करके नियमित स्कैन और बाद में भेद्यता निवारण सार्वजनिक क्षेत्र के लिए सुरक्षित भविष्य का मार्ग प्रशस्त करेगा, ”वेराकोड में मैनेजर सॉल्यूशन आर्किटेक्ट्स ईएमईए और एपीएसी जूलियन टोटज़ेक-हॉलहुबर ने कहा।
Veracode.com पर और अधिक
वेराकोड के बारे में
वेराकोड का मतलब बुद्धिमान सॉफ्टवेयर सुरक्षा है। वेराकोड सॉफ़्टवेयर सुरक्षा प्लेटफ़ॉर्म आधुनिक सॉफ़्टवेयर विकास चक्र के हर चरण में खामियाँ और कमजोरियाँ ढूँढ़ता है। कोड की खरबों लाइनों पर प्रशिक्षित शक्तिशाली एआई के लिए धन्यवाद, वेराकोड ग्राहक त्रुटियों को तेजी से और उच्च सटीकता के साथ ठीक करते हैं।