Breaking News

สถิติชี้พบช่องโหว่เพิ่มขึ้นในการพัฒนาแอปพลิเคชันสมัยใหม่

WhiteHat Security ได้จัดทำรายงานที่ศึกษาเกี่ยวกับช่องโหว่สมัยใหม่หรือพวก Agile Development, Micro-service, แอปพลิเคชัน API และ Cloud พบว่ามีแนวโน้มของช่องโหว่เพิ่มขึ้นเมื่อเทียบกับปีก่อนหน้า

Credit: ShutterStock.com

รายงานกล่าวว่าเทรนของ Digital Transformation ทำให้ 70% ของแอปพลิเคชันมีการใช้งานส่วนประกอบจาก Third-party หรือ ซอฟต์แวร์แบบโอเพ่นซอร์สกลับมาใช้งานใหม่ (Reusable) ซึ่งปัญหาคืออาจจะมีการสืบทอดช่องโหว่มาจากส่วนประกอบที่ไม่มั่นคงปลอดภัยมาด้วย นอกจากนี้เทรนใหม่ยังทำให้เกิดคอนเซปต์ DevOps โดยนาย Setu Kulkarni , รองผู้อำนวยการฝ่ายกลยุทธ์ของ Whitehat Security กล่าวว่า “ตอนนี้ DevOps กลายเป็นกระแสหลักแต่ในกระบวนการของงานเหล่านั้นแต่พวกเขายังขาดความใส่ใจในด้านความมั่นคงปลอดภัยและจากการติดตามกระแสนี้ใน 3 ปีหลังเราพบว่าองค์กรต่างพยายามปล่อยแอปพลิเคชันกันออกมาแต่ยังไม่ใส่ใจหรือขาดทักษะด้านความมั่นคงปลอดภัยที่จำเป็น

ช่องโหว่ที่พบในผลสำรวจมีดังนี้

  • ช่องโหว่ของแอปพลิเคชันยอดนิยมคือการเปิดเผยข้อมูล (Information Leakage) สูงถึง 45% ซึ่งเพิ่มขึ้นกว่าเดิม 8% จากปีที่แล้ว
  • Content Spoofing อยู่ที่ 40%
  • Cross site scripting อยู่ที่ 38%
  • ขาดการป้องกันในระดับ Transport Layer ประมาณ 28%
  • ระยะเวลาในการแก้ไขช่องโหว่ของผู้พัฒนาก็เพิ่มขึ้นกว่าเดิม เช่น SQL Injection ใช้เวลาในการอุตช่องโหว่เฉลี่ยถึง 139 วัน เพราะผู้พัฒนามักเลือกแก้ไขช่องโหว่ง่ายก่อนโดยไม่ได้พิจารณาถึงระดับความรุนแรงเป็นสำคัญ

สามารถติดตามรายงานฉบับเต็มชื่อ “The 2018 Application Security Statistics Report: The Evolution of the Secure Software Lifecycle

ที่มา : https://betanews.com/2018/10/04/devops-insecure-apps/ และ https://www.infosecurity-magazine.com/news/devops-producing-more-insecure/

 




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบแคมเปญมัลแวร์ใหม่ดัดแปลงการโจมตีเพื่อเลี่ยงการตรวจจับจาก Antivirus

Cisco Talos ได้พบกับแคมเปญของมัลแวร์ใหม่ที่ได้ดัดแปลงขั้นตอนการใช้งานช่องโหว่บน Word เพื่อหลีกเลี่ยงการตรวจจับจาก Antivirus โดยช่องโหว่ที่ถูกใช้คือ CVE-2017-0199 และ CVE-2017-11882 ซึ่งเมื่อทำสำเร็จจะติดตั้งมัลแวร์ 3 ตัวที่มุ่งเน้นขโมยข้อมูลคือ Agent Tesla, …

ขอเชิญร่วมสัมมนาฟรี Pure Manufacturing Day 2018 ณ ชลบุรี รู้จัก All-Flash Storage กับการใช้งานในธุรกิจโรงงานและการผลิต

Pure Storage ขอเชิญทุกท่านเข้าร่วมงานสัมมนาฟรี Pure Manufacturing Day 2018 เพื่อทำความรู้จักกับเทคโนโลยี All-Flash Storage และการนำไปใช้งานในธุรกิจโรงงานและการผลิตเพื่อก้าวสู่ Industry 4.0 อย่างเต็มตัวในวันที่ 18 …