Yazılım Durumu Güvenliği Raporu'nun 13. baskısı, yazılım ortamındaki eğilimleri ve güvenlik uygulamalarının nasıl geliştiğini yayınlar. Sonuçlardan bazıları endişe verici: Özel şirketlerde yüzde 82'e kıyasla, kamu sektöründe geliştirilen uygulamaların yüzde 74'sinde en az bir güvenlik açığı keşfedildi.
Yazılım Güvenliğinin Durumu araştırması, kamu sektörü uygulamalarının özel sektör uygulamalarından daha fazla güvenlik açığına sahip olma eğiliminde olduğunu buldu. Uygulamalardaki daha yüksek sayıda hata ve güvenlik açığı, artan güvenlik riskiyle ilişkilidir. Çalışma, dijital öğelere sahip ürünler için ek minimum güvenlik gereksinimleri getirmeyi amaçlayan AB Siber Direnç Yasası gibi siber güvenliği iyileştirmeye yönelik bir dizi küresel hükümet girişiminin arka planında yürütüldü. 27 uygulamada 750.000 milyondan fazla taramadan elde edilen verilerin analizi, Veracode'un en son yıllık raporunun temelini oluşturdu.
Güvenlik açıklarına sahip birçok uygulama
🔎 Kamu sektörü, yıllar içinde diğer kuruluşlara göre daha az güvenlik açığı yaşadı (Resim: Veracode).
Araştırmacılar, kamu sektörü kuruluşları tarafından geliştirilen uygulamaların yaklaşık yüzde 82'sinde en az bir güvenlik açığı bulunduğunu tespit etti. Bu, özel şirketler için yüzde 74'e denk geliyor. Araştırmanın verileri son 12 ay içerisinde toplanmıştır. Tespit edilen güvenlik açığının türüne bağlı olarak, son 12 ayda kamu sektörü uygulamalarında bir güvenlik açığı oluşturulmuş olma olasılığı yüzde 7-12 daha yüksekti.
Rakamlar, bilgisayar korsanları açıklardan ve güvenlik açıklarından yararlandığında ortaya çıkan sonuçları tek başına yansıtmaz. Örneğin, geçen yıl Ağustos ayında, Alman Ticaret ve Sanayi Odası'na yönelik bir tedarik zinciri saldırısı, BT sistemlerini ve dijital hizmetlerini, telefonlarını ve e-posta sunucularını tamamen kapatmak zorunda kalmaları anlamına geliyordu. Temel hizmetler, saldırıdan kısa bir süre sonra yeniden kullanılabilir hale geldi, ancak tam işlevselliğin geri yüklenmesi bir aydan fazla sürdü.
Kamu sektöründeki ciddi güvenlik açıkları
"Yüksek önem derecesine sahip" güvenlik açıkları söz konusu olduğunda, kamu sektörlerinin üstünlüğü vardır. Araştırmanın 12 aylık döneminde, kritik güvenlik açıklarına sahip uygulamaların yüzdesi kamu sektöründe (%16,5) özel şirketlere (%19) göre daha düşüktü. Daha yüksek önem derecesine sahip güvenlik açıklarının, kötüye kullanılması halinde tüm sistemi etkileme potansiyeli daha yüksektir.
Modern uygulama testi, Statik Uygulama Güvenlik Testi (SAST) ve Yazılım Kompozisyon Analizi (SCA) gibi güvenlik tarama araçlarının kullanımını teşvik eder. Farklı tarama türleri, farklı güvenlik açıklarını ortaya çıkarabilir. SAST ve SCA, kamu sektörü uygulamalarında özel girişim uygulamalarından daha düşük bir kusur yüzdesi buldu.
Pişman olmaktansa sağlamcı davranmak iyidir
Taramaların eskiyen yazılımlarda yeni güvenlik açıkları bulma oranı söz konusu olduğunda, kamu ve özel sektör arasında büyük bir fark vardır. 5 yıldır kullanımda olan uygulamalar için özel sektörde güvenlik açıkları artarken, kamu kuruluşlarında azalmaktadır. Bu eğilim, kamu sektörü kuruluşlarının uygulamalarının güvenliğine yalnızca yaşam döngüsünün en başında değil, birkaç yıl boyunca dikkat ettiğini göstermektedir.
"Yazılım Güvenliğinin Durumu Kamu Sektörü 2023 Raporu", devlet kurumlarının siber güvenlik duruşlarını iyileştirmek için yapabilecekleri dört eylem öneriyor:
- Yakalayın: Bilinen hataların birikmiş listelerinin mümkün olan en kısa sürede düzeltilmesi gerekir.
- Sık tarama: Düzensiz tarama, hataları düzeltmeyi zorlaştırır ve daha fazla birikmiş işlere yol açar.
- Otomatikleştirin: API'ler aracılığıyla testleri otomatikleştirerek, uygulamalardaki hata ve kusurlardan daha iyi kaçınılır.
- Güvenlik yığınına DAST ekleme: Diğer tarama türlerinin gözden kaçırdığı güvenlik açıklarını keşfetmek için dinamik taramayı kullanın.
“Kamu sektörü, uygulamalarının güvenliğini artırmada uzun bir yol kat etti. Ancak, yetkililerin siber güvenliklerini geliştirmelerine ve yeni tehditleri savuşturmalarına olanak sağlamak için yapılması gereken çok iş var. Güvenlik çabalarını çoğu siber ihlalin temel nedeni olan uygulama katmanına odaklayarak önemli iyileştirmeler yapabilirler. Veracode EMEA ve APAC Çözüm Mimarları Yöneticisi Julian Totzek-Hallhuber, çeşitli test yöntemleri kullanılarak yapılan düzenli taramalar ve müteakip güvenlik açığı düzeltme işlemleri, kamu sektörü için daha güvenli bir geleceğin yolunu açacaktır.
Daha fazlası Veracode.com'da
Veracode Hakkında
Veracode, akıllı yazılım güvenliği anlamına gelir. Veracode Yazılım Güvenlik Platformu, modern yazılım geliştirme döngüsünün her aşamasında kusurları ve güvenlik açıklarını bulur. Trilyonlarca kod satırı üzerinde eğitilmiş güçlü yapay zeka sayesinde, Veracode müşterileri hataları daha hızlı ve yüksek doğrulukla düzeltir.