สถิติชี้พบช่องโหว่เพิ่มขึ้นในการพัฒนาแอปพลิเคชันสมัยใหม่

WhiteHat Security ได้จัดทำรายงานที่ศึกษาเกี่ยวกับช่องโหว่สมัยใหม่หรือพวก Agile Development, Micro-service, แอปพลิเคชัน API และ Cloud พบว่ามีแนวโน้มของช่องโหว่เพิ่มขึ้นเมื่อเทียบกับปีก่อนหน้า

รายงานกล่าวว่าเทรนของ Digital Transformation ทำให้ 70% ของแอปพลิเคชันมีการใช้งานส่วนประกอบจาก Third-party หรือ ซอฟต์แวร์แบบโอเพ่นซอร์สกลับมาใช้งานใหม่ (Reusable) ซึ่งปัญหาคืออาจจะมีการสืบทอดช่องโหว่มาจากส่วนประกอบที่ไม่มั่นคงปลอดภัยมาด้วย นอกจากนี้เทรนใหม่ยังทำให้เกิดคอนเซปต์ DevOps โดยนาย Setu Kulkarni , รองผู้อำนวยการฝ่ายกลยุทธ์ของ Whitehat Security กล่าวว่า “ตอนนี้ DevOps กลายเป็นกระแสหลักแต่ในกระบวนการของงานเหล่านั้นแต่พวกเขายังขาดความใส่ใจในด้านความมั่นคงปลอดภัยและจากการติดตามกระแสนี้ใน 3 ปีหลังเราพบว่าองค์กรต่างพยายามปล่อยแอปพลิเคชันกันออกมาแต่ยังไม่ใส่ใจหรือขาดทักษะด้านความมั่นคงปลอดภัยที่จำเป็น”

ช่องโหว่ที่พบในผลสำรวจมีดังนี้

• ช่องโหว่ของแอปพลิเคชันยอดนิยมคือการเปิดเผยข้อมูล (Information Leakage) สูงถึง 45% ซึ่งเพิ่มขึ้นกว่าเดิม 8% จากปีที่แล้ว
• Content Spoofing อยู่ที่ 40%
• Cross site scripting อยู่ที่ 38%
• ขาดการป้องกันในระดับ Transport Layer ประมาณ 28%
• ระยะเวลาในการแก้ไขช่องโหว่ของผู้พัฒนาก็เพิ่มขึ้นกว่าเดิม เช่น SQL Injection ใช้เวลาในการอุตช่องโหว่เฉลี่ยถึง 139 วัน เพราะผู้พัฒนามักเลือกแก้ไขช่องโหว่ง่ายก่อนโดยไม่ได้พิจารณาถึงระดับความรุนแรงเป็นสำคัญ

สามารถติดตามรายงานฉบับเต็มชื่อ “The 2018 Application Security Statistics Report: The Evolution of the Secure Software Lifecycle”

ที่มา : https://betanews.com/2018/10/04/devops-insecure-apps/ และ https://www.infosecurity-magazine.com/news/devops-producing-more-insecure/