Laporan: Aplikasi yang tidak terlalu rumit cenderung memiliki kerentanan keamanan dibandingkan aplikasi yang lebih kompleks.
Laporan: Aplikasi yang tidak terlalu rumit cenderung memiliki kerentanan keamanan dibandingkan aplikasi yang lebih kompleks.
[ad_1]
Meskipun kita mungkin mengira bahwa semakin kompleks suatu aplikasi, semakin besar kemungkinan aplikasi tersebut memiliki kerentanan keamanan, namun analisis terbaru yang dilakukan oleh Black Duck menemukan hal sebaliknya.
Dia Ikhtisar Kerentanan Perangkat Lunak 2024 Laporan tersebut menganalisis data dari 200.000 pemindaian uji keamanan aplikasi dinamis untuk 1.300 aplikasi di 19 sektor industri berbeda.
Laporan tersebut mengklasifikasikan aplikasi dengan kompleksitas rendah sebagai aplikasi dengan interaktivitas minimal dan pohon penguraian sederhana, sedangkan aplikasi dengan kompleksitas lebih tinggi adalah aplikasi dengan banyak elemen interaktif dan konten yang dihasilkan secara dinamis.
Hasilnya menunjukkan bahwa aplikasi dengan kompleksitas kecil dan menengah lebih cenderung memiliki kerentanan kritis dibandingkan aplikasi dengan kompleksitas lebih tinggi. Kerentanan ditemukan sebanyak 2.039 pada aplikasi dengan kompleksitas rendah, 1.679 pada aplikasi dengan kompleksitas sedang, dan 505 pada aplikasi dengan kompleksitas tinggi.
“Metrik ini menunjukkan bahwa banyak organisasi meremehkan kebutuhan keamanan situs dengan aplikasi yang lebih sedikit kompleks,” tulis Black Duck dalam sebuah pernyataan. postingan blog tentang laporan itu.
Beberapa sektor industri yang paling berisiko tinggi adalah sektor yang mempunyai kerentanan paling kritis. Keuangan dan asuransi memiliki 1.299 kerentanan kritis, layanan kesehatan dan bantuan sosial memiliki 992 kerentanan, dan layanan informasi memiliki 446 kerentanan. Pertanian, pertambangan/pertambangan, dan ekstraksi minyak/gas, konstruksi dan pengelolaan limbah termasuk di antara sektor-sektor yang memiliki sedikit atau tanpa kerentanan.
Namun, meskipun prevalensi kerentanan lebih besar, perusahaan keuangan dan asuransi juga memiliki waktu respons yang sangat cepat dibandingkan industri lain, karena diperlukan waktu 28 hari untuk menambal kerentanan kritis untuk aplikasi dengan kompleksitas skala kecil, 53 hari untuk aplikasi dengan kompleksitas sedang, dan 78 hari hari untuk aplikasi dengan kompleksitas yang lebih besar. aplikasi kompleksitas.
Perusahaan layanan kesehatan dan bantuan sosial sebenarnya mampu memperbaiki kerentanan kritis dengan lebih cepat untuk aplikasi yang lebih kompleks dibandingkan aplikasi yang lebih kecil. Mereka membutuhkan waktu 87 hari untuk memperbaiki kerentanan kritis pada aplikasi dengan kompleksitas rendah dan hanya 20 hari untuk aplikasi dengan kompleksitas lebih tinggi.
Layanan publik dan layanan pendidikan memiliki waktu respons yang jauh lebih lambat. Utilitas memerlukan waktu 107 hari untuk mengatasi kerentanan pada aplikasi dengan kompleksitas rendah dan 876 hari untuk aplikasi dengan kompleksitas sedang. Di bidang pendidikan, dibutuhkan rata-rata 342 hari untuk aplikasi dengan kompleksitas rendah dan 111 hari untuk aplikasi dengan kompleksitas sedang.
“Variasi ini menyoroti dampak alokasi sumber daya dan tekanan peraturan terhadap inisiatif keamanan di berbagai sektor,” tulis Black Duck.
Black Duck juga menemukan bahwa dari 96.917 kerentanan yang dianalisis, yang paling umum adalah kegagalan kriptografi, kerentanan injeksi, dan kesalahan konfigurasi keamanan.
Terdapat 30,726 kerentanan yang diklasifikasikan sebagai kegagalan kriptografi, dimana 4,882 di antaranya dianggap sebagai kejadian risiko kritis. Jenis kerentanan ini mempengaruhi 86% perusahaan yang disurvei.
Kerentanan injeksi, yang mencakup injeksi SQL dan skrip lintas situs, bertanggung jawab atas 4.814 kerentanan. Lebih dari separuhnya (2.491) dianggap sebagai kasus kritis.
Kesalahan konfigurasi keamanan bertanggung jawab atas 36.000 kerentanan, dan meskipun sebagian besar diklasifikasikan sebagai “informasional” dan tidak memerlukan tindakan segera, hal tersebut masih dapat menimbulkan potensi risiko, jelas Black Duck. Jenis kerentanan ini mempengaruhi 98% perusahaan yang dianalisis.
“Tingginya jumlah kerentanan yang ditemukan selama setahun terakhir merupakan peringatan yang jelas bahwa bisnis tidak boleh stagnan ketika menerapkan langkah-langkah keamanan baru,” kata Jason Schmitt, CEO Black Duck. “Semakin lama waktu yang dibutuhkan suatu organisasi untuk menambal kerentanan, semakin besar risiko eksploitasi. Risiko perangkat lunak sama dengan risiko bisnis, dan dengan semakin canggihnya pelaku ancaman saat ini, semakin penting bagi bisnis di semua industri untuk membangun kepercayaan terhadap perangkat lunak mereka dengan menerapkan pendekatan global dan terintegrasi.
[ad_2]