สถิติชี้พบช่องโหว่เพิ่มขึ้นในการพัฒนาแอปพลิเคชันสมัยใหม่

WhiteHat Security ได้จัดทำรายงานที่ศึกษาเกี่ยวกับช่องโหว่สมัยใหม่หรือพวก Agile Development, Micro-service, แอปพลิเคชัน API และ Cloud พบว่ามีแนวโน้มของช่องโหว่เพิ่มขึ้นเมื่อเทียบกับปีก่อนหน้า

Credit: ShutterStock.com

รายงานกล่าวว่าเทรนของ Digital Transformation ทำให้ 70% ของแอปพลิเคชันมีการใช้งานส่วนประกอบจาก Third-party หรือ ซอฟต์แวร์แบบโอเพ่นซอร์สกลับมาใช้งานใหม่ (Reusable) ซึ่งปัญหาคืออาจจะมีการสืบทอดช่องโหว่มาจากส่วนประกอบที่ไม่มั่นคงปลอดภัยมาด้วย นอกจากนี้เทรนใหม่ยังทำให้เกิดคอนเซปต์ DevOps โดยนาย Setu Kulkarni , รองผู้อำนวยการฝ่ายกลยุทธ์ของ Whitehat Security กล่าวว่า “ตอนนี้ DevOps กลายเป็นกระแสหลักแต่ในกระบวนการของงานเหล่านั้นแต่พวกเขายังขาดความใส่ใจในด้านความมั่นคงปลอดภัยและจากการติดตามกระแสนี้ใน 3 ปีหลังเราพบว่าองค์กรต่างพยายามปล่อยแอปพลิเคชันกันออกมาแต่ยังไม่ใส่ใจหรือขาดทักษะด้านความมั่นคงปลอดภัยที่จำเป็น

ช่องโหว่ที่พบในผลสำรวจมีดังนี้

  • ช่องโหว่ของแอปพลิเคชันยอดนิยมคือการเปิดเผยข้อมูล (Information Leakage) สูงถึง 45% ซึ่งเพิ่มขึ้นกว่าเดิม 8% จากปีที่แล้ว
  • Content Spoofing อยู่ที่ 40%
  • Cross site scripting อยู่ที่ 38%
  • ขาดการป้องกันในระดับ Transport Layer ประมาณ 28%
  • ระยะเวลาในการแก้ไขช่องโหว่ของผู้พัฒนาก็เพิ่มขึ้นกว่าเดิม เช่น SQL Injection ใช้เวลาในการอุตช่องโหว่เฉลี่ยถึง 139 วัน เพราะผู้พัฒนามักเลือกแก้ไขช่องโหว่ง่ายก่อนโดยไม่ได้พิจารณาถึงระดับความรุนแรงเป็นสำคัญ

สามารถติดตามรายงานฉบับเต็มชื่อ “The 2018 Application Security Statistics Report: The Evolution of the Secure Software Lifecycle

ที่มา : https://betanews.com/2018/10/04/devops-insecure-apps/ และ https://www.infosecurity-magazine.com/news/devops-producing-more-insecure/

 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Veritas ขอเชิญร่วมสัมมนาอัปเดต Backup Exec 20.4 พร้อมรับชมภาพยนตร์ Fast and Furious Presents: Hobbs and Shaw 15 ส.ค. 2019

Veritas ขอเชิญลูกค้าธุรกิจองค์กรที่กำลังใช้งานโซลูชันใดๆ ของ Veritas หรือเคยใช้งาน Veritas Backup Exec มาก่อน เข้าร่วมงานสัมมนาฟรี อัปเดตเทคโนโลยีล่าสุดกับ Veritas Backup Exec 20.4 พร้อมรับชมภาพยนตร์ Fast and Furious Presents: Hobbs and Shaw ต่อทันทีในวันที่ 15 สิงหาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีๆ ดังนี้

Tenable Webinar: ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable

Tenable ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT Security, ผู้จัดการ IT, ทีมงาน Security Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable" เพื่อทำความรู้จักกับ Cyber Exposure, บทเรียนด้าน Cybersecurity จากเหตุการณ์ต่างๆ และการประยุกต์นำพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์มาใช้เสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กร ในวันพุธที่ 7 สิงหาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้