งานวิจัยชี้ การพัฒนา Application ยังไม่ปลอดภัยพอ 97% ของ Java Application มีช่องโหว่

ในรายงาน The State of Software Security ที่จัดทำขึ้นโดย Veracode นั้นได้นำเสนอถึงประเด็นทางด้านการศึกษาความปลอดภัยภายใน Software ต่างๆ จากการวิเคราะห์โค้ดของระบบต่างๆ หลายพันล้านบรรทัด จากการตรวจสอบ Application 337,742 ระบบ ในช่วง 18 เดือนที่ผ่านมา และพบว่ามีตัวเลขสถิติที่น่าสนใจในเชิงความปลอดภัยของ Software ดังต่อไปนี้

Credit: ShutterStock.com
Credit: ShutterStock.com
  • การตรวจสอบความปลอดภัยตามมาตรฐาน Top 10 ของ OWASP พบว่ามีระบบที่ไม่ผ่านมาตรฐานนี้ถึง 61.4%
  • การตรวจสอบความปลอดภัยตามมาตรฐาน Top 25 ของ CWE/SANS พบว่ามีระบบที่ไม่ผ่านมาตรฐานนี้ถึง 65.8%
  • เมื่อเปรียบเทียบระหว่าง Software ที่พัฒนาเองเทียบกับ Software ของ 3rd Party ที่นำมาใช้งานด้วยมาตรฐาน Top 10 ของ OWASP พบว่า Software ที่พัฒนาเองนั้นไม่ผ่านมาตรฐานนี้ 61% ในขณะที่ Software ของ 3rd Party นั้นไม่ผ่านมาตรฐานถึง 75%
  • 35% ของ Application มีการเขียน Hard-coded Password ลงไป
  • 39% ของ Application นั้นใช้ Cryptographic Algorithm ที่ไม่ปลอดภัยเพียงพอ
  • 28% ของ Application นั้นมีช่องโหว่ที่เปิดให้ผู้โจมตีทำการ Redirect ผู้ใช้งานไปยังเว็บปลายทางที่ไม่พึงประสงค์ได้
  • 16% ของ Application นั้นมีการจัดเก็บข้อมูลที่น่าเชื่อถือและไม่น่าเชื่อถือเอาไว้ภายใน Data Structure หรือ Structured Message เดียวกัน
  • การตั้งค่าและกำหนดค่าของส่วนประกอบต่างๆ ใน Software เป็นหนึ่งในประเด็นที่ทำให้เกิดปัญหาด้านความปลอดภัย
  • 40% ของ Application ภายในองค์กรนั้นถูก Scan เพื่อตรวจสอบความปลอดภัยเพียงครั้งเดียว ส่วนอีก 60% ที่เหลือทำมากกว่านั้น โดยมีค่าเฉลี่ยการ Scan ต่อ Application อยู่ที่ 7 ครั้ง และมี Median อยู่ที่ 2 ครั้ง
  • 97% ของ Java Application ที่ถูกตรวจสอบนั้นจะมีช่องโหว่อย่างน้อย 1 ช่องโหว่ในส่วนประกอบของระบบ

รายงานฉบับเต็มยาวมากครับ แต่ก็แนะนำให้อ่านกันสำหรับผู้ที่สนใจ โดยผู้ที่สนใจสามารถศึกษารายละเอียดฉบับเต็มได้ที่ https://www.veracode.com/sites/default/files/Resources/iPapers/soss-2016/index.html?mkt_tok=eyJpIjoiTlRreFpqRmpZemN5WXpabCIsInQiOiI0WUY2djZDTWlPNXI3NkNvT2N1QzRKM2c1ZmtKUTFNK3FWeDZ2YXd3M1lcL0VvdzVSOWh5MTduN1Vrd1wvZGZhV0xoWWlZRUhcL3lcL3BPWmlsUTNQd2d3OVdrWHJS นะครับ

ที่มา: http://www.scmagazine.com/report-finds-companies-should-manage-application-risks-as-an-enterprise-risks/article/561981/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมงานสัมมนา VeeamOn Forum : Transform Your Modern Data Protection Strategy [25 Aug 2022]

Veeam ขอเรียนเชิญท่านเข้าร่วมงาน VeeamOn Forum: Transform Your Modern Data Protection Strategy โดยภายในงานทุกท่านจะได้รับทราบเนื้อหาเทคโนโลยี ไฮไลท์ต่างๆ และการเปิดตัวเวอร์ชันใหม่จาก Veeam รวมถึงพันธมิตรทางธุรกิจที่ได้ให้เกียรติเข้าร่วมบรรยายพร้อมทั้งนำเสนอสินค้าและโซลูชันต่างๆ …

คลาวด์เซค เอเชีย ผนึกกำลัง 4 พันธมิตรชั้นนำระดับโลก จัดสัมมนา Cloud’s Cyber Security Landscape 2022 [19 ส.ค.นี้ 13.00 น.]

ดร.วารินทร์ แคร่า ประธานเจ้าหน้าที่บริหาร สายงานยุทธศาสตร์องค์กร บริษัท คลาวด์เซค เอเชีย จำกัด ผู้เชี่ยวชาญด้านการป้องกันภัยไซเบอร์และการวางระบบคลาวด์แบบครบวงจร ผนึกกำลัง 4 พันธมิตรชั้นนำระดับโลก อย่าง Sumo Logic, …