В основу исследования были положены данные, собранные в ходе недавнего статического (SAST) и динамического (DAST) тестирования безопасности программного обеспечения, а также анализа программных компонентов (SCA) у более чем миллиона приложений. Множество недостатков, выявленных в программном коде, который был представлен как собственными, так и независимыми разработчиками, еще раз подтверждает важность проведения тестирования на протяжении всего жизненного цикла разработки программного обеспечения (SDLC).
Исследование показало, что распространенность серьезных недостатков в 2023 году (они были обнаружены у 17,9% приложений) сократилась в два раза по сравнению с 2016 годом (тогда их выявили у 37,9% приложений). И хотя лишь 3,2% от общего числа недостатков были признаны очень серьезными (уровня CVSS 9 и выше), почти 16% можно отнести к категории «эксплуатируемых с высокой степенью вероятности». Это означает, что менее 1% (0,7%) изъянов, обнаруженных в 2023 году, являются критическими и могут активно использоваться при проведении атак. С помощью сканирования SAST, DAST и SCA неустраненные недостатки были найдены у 80% активных приложений. При сканировании SAST (которое применяется на этапе разработки) этот показатель составил 73%. У 63,4% приложений дефекты были выявлены в коде собственной разработки, а у 70,2% приложений – в открытом коде независимых разработчиков. В типичном приложении на каждый мегабайт исходного кода приходится 42 ошибки. Наиболее распространены уязвимости межсайтового скриптинга (cross-site scripting), внедрения исполняемого кода (injection) и обхода каталога (path traversal).
Задолженность по безопасности программного обеспечения, под которой в исследовании понимается любой недостаток, сохраняющийся на протяжении года и более, была обнаружена у 42% приложений. Если сюда добавить приложения, которым еще не исполнилось и года, соответствующая доля снижается до 23%. Это означает, что 57% приложений имеют недостатки, но у них нет задолженности по безопасности. Если же оценивать критическую задолженность (неустраненные критические недостатки), картина меняется. У большинства организаций (71%) задолженность по безопасности в той или иной степени присутствует, а почти у половины (46%) имеются серьезные постоянные недостатки, которые классифицируются как критическая задолженность. У четверти организаций доля приложений с задолженностью не превышает 17%, а у другой четверти задолженность имеется у 67% приложений и более. В среднем же почти половину всех недостатков (47%) можно отнести к задолженности по безопасности.
Для устранения брешей в системе безопасности приложений авторы исследования рекомендуют интегрировать функции обеспечения безопасности в SDLC, заниматься устранением обнаруженных дефектов на непрерывной основе, уделять устранению критических недостатков приоритетное внимание, а также повышать компетентность разработчиков в области безопасности и знания профиля задолженности используемого ими языка.