TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ในรายงาน The State of Software Security ที่จัดทำขึ้นโดย Veracode นั้นได้นำเสนอถึงประเด็นทางด้านการศึกษาความปลอดภัยภายใน Software ต่างๆ จากการวิเคราะห์โค้ดของระบบต่างๆ หลายพันล้านบรรทัด จากการตรวจสอบ Application 337,742 ระบบ ในช่วง 18 เดือนที่ผ่านมา และพบว่ามีตัวเลขสถิติที่น่าสนใจในเชิงความปลอดภัยของ Software ดังต่อไปนี้
- การตรวจสอบความปลอดภัยตามมาตรฐาน Top 10 ของ OWASP พบว่ามีระบบที่ไม่ผ่านมาตรฐานนี้ถึง 61.4%
- การตรวจสอบความปลอดภัยตามมาตรฐาน Top 25 ของ CWE/SANS พบว่ามีระบบที่ไม่ผ่านมาตรฐานนี้ถึง 65.8%
- เมื่อเปรียบเทียบระหว่าง Software ที่พัฒนาเองเทียบกับ Software ของ 3rd Party ที่นำมาใช้งานด้วยมาตรฐาน Top 10 ของ OWASP พบว่า Software ที่พัฒนาเองนั้นไม่ผ่านมาตรฐานนี้ 61% ในขณะที่ Software ของ 3rd Party นั้นไม่ผ่านมาตรฐานถึง 75%
- 35% ของ Application มีการเขียน Hard-coded Password ลงไป
- 39% ของ Application นั้นใช้ Cryptographic Algorithm ที่ไม่ปลอดภัยเพียงพอ
- 28% ของ Application นั้นมีช่องโหว่ที่เปิดให้ผู้โจมตีทำการ Redirect ผู้ใช้งานไปยังเว็บปลายทางที่ไม่พึงประสงค์ได้
- 16% ของ Application นั้นมีการจัดเก็บข้อมูลที่น่าเชื่อถือและไม่น่าเชื่อถือเอาไว้ภายใน Data Structure หรือ Structured Message เดียวกัน
- การตั้งค่าและกำหนดค่าของส่วนประกอบต่างๆ ใน Software เป็นหนึ่งในประเด็นที่ทำให้เกิดปัญหาด้านความปลอดภัย
- 40% ของ Application ภายในองค์กรนั้นถูก Scan เพื่อตรวจสอบความปลอดภัยเพียงครั้งเดียว ส่วนอีก 60% ที่เหลือทำมากกว่านั้น โดยมีค่าเฉลี่ยการ Scan ต่อ Application อยู่ที่ 7 ครั้ง และมี Median อยู่ที่ 2 ครั้ง
- 97% ของ Java Application ที่ถูกตรวจสอบนั้นจะมีช่องโหว่อย่างน้อย 1 ช่องโหว่ในส่วนประกอบของระบบ
รายงานฉบับเต็มยาวมากครับ แต่ก็แนะนำให้อ่านกันสำหรับผู้ที่สนใจ โดยผู้ที่สนใจสามารถศึกษารายละเอียดฉบับเต็มได้ที่ https://www.veracode.com/sites/default/files/Resources/iPapers/soss-2016/index.html?mkt_tok=eyJpIjoiTlRreFpqRmpZemN5WXpabCIsInQiOiI0WUY2djZDTWlPNXI3NkNvT2N1QzRKM2c1ZmtKUTFNK3FWeDZ2YXd3M1lcL0VvdzVSOWh5MTduN1Vrd1wvZGZhV0xoWWlZRUhcL3lcL3BPWmlsUTNQd2d3OVdrWHJS นะครับ
