Veracode zajmuje się m.in. audytowaniem kodu oprogramowania pod kątem błędów i luk w zabezpieczeniach oraz konfiguracji. Firma udostępniła właśnie raport State of Software Security, podsumowujący ostatnie półtora roku jej działalności audytorskiej - w tym czasie jej specjaliści przeanalizowali zabezpieczenia 4 835 różnych programów.

Aplikacje jak rzeszoto...

Okazało się, że 58% sprawdzonych aplikacji tak naprawdę nie nadawało się do użytkowania - z uwagi na liczne błędy w zabezpieczeniach. Co więcej, poważne luki znaleziono też w aż 72% przeanalizowanych... aplikacji zabezpieczających. "Wielu menedżerów sądzi, że gdy wydają 500 tys. USD na oprogramowanie dostarczane przez któregoś ze znaczących graczy świata IT, to kupowany przez nich produkt jest odpowiednio bezpieczny. Nasze analizy wykazuję, że takie przeświadczenie jest niezgodne z rzeczywistością - moim zdaniem to ważna wiadomość dla osób decydujących o wydatkach na IT" - skomentował Gunnar Peterson, główny architekt oprogramowania zabezpieczającego w firmie Arctec Group.

Specjaliści zwracają jednak uwagę, że dane przedstawione przez Veracode nie do końca muszą odzwierciedlać rzeczywistość - choćby dlatego, że firma przedstawia suche informacje o liczbie błędów w danym produkcie, nie zestawiając ich np. z poziomem skomplikowania analizowanej aplikacji.

Z raportu dowiadujemy się, że na wykonanie audytu bezpieczeństwa oprogramowania najczęściej decydują się firmy i organizacje z branży finansowej (który do przeprowadzenia formalnej certyfikacji zabezpieczeń zobowiązuje zwykle ustawodawca). Stosunkowo często swoje aplikacje sprawdzają również przedsiębiorstwa z branży lotniczej oraz militarnej.

10 najpopularniejszych błędów OWASP

Analizy przeprowadzone przez Veracode wykazały też, że firmy mają sporo problemów ze spełnieniem wymagań standardu PCIDSS (Payment Card Industry Data Security Standard), stworzonego z myślą o przedsiębiorstwach zajmujących się przetwarzaniem płatności online. Standard ten wymaga, by oprogramowanie związane z płatnościami było testowane pod kątem występowania najpopularniejszych błędów opisanych w Open Web Application Security Project (to tzw. lista OWASP 10). "Okazało się, że 8 na 10 testowanych aplikacji nie zaliczyłoby tego testu, co oznacza, że nie są w stanie uzyskać niezbędnego certyfikatu bezpieczeństwa" - skomentował Chris Eng z Veracode.

Co ciekawe, wydaje się, że w większości analizowanych aplikacji błędy związane z bezpieczeństwem są stosunkowo łatwe do usunięcia - przedstawiciele Veracode szacują, że 80% wykrytych przez nich problemów z bezpieczeństwem oprogramowania można rozwiązać w ciągu miesiąca.