گزارش می گوید که سرویس های جاوا بیشترین آسیب را از آسیب پذیری های شخص ثالث می بینند

گزارش وضعیت DevSecOps نشان می‌دهد که ۹۰ درصد از سرویس‌های جاوا در معرض آسیب‌پذیری در کتابخانه‌های شخص ثالث هستند.

بر اساس “وضعیت DevSecOps، سرویس‌های جاوا بیشترین تأثیر را از آسیب‌پذیری‌های شخص ثالث دارند. گزارش ۲۰۲۴” به تازگی توسط ارائه دهنده امنیت ابری Datadog منتشر شده است.

این گزارش در ۱۷ آوریل منتشر شد و نشان داد که ۹۰٪ از سرویس‌های Java در معرض یک یا چند آسیب‌پذیری حیاتی یا با شدت بالا هستند که توسط یک کتابخانه شخص ثالث معرفی شده‌اند. میانگین برای سایر زبان‌ها ۴۷% بود.

گزارش Datadog ده‌ها هزار برنامه کاربردی و تصاویر کانتینر و هزاران محیط ابری را برای ارزیابی امنیت برنامه تجزیه و تحلیل کرد. پس از جاوا در ارزیابی آسیب‌پذیری‌ها جاوا اسکریپت، تقریباً ۷۰٪ بود. Python، در ۶۲%؛ دات نت، در ۵۰%؛ PHP، در ۳۵٪؛ و Go (golang) و Ruby، هر دو در حدود ۳۲%.

سرویس‌های جاوا نیز به احتمال زیاد در برابر سوء استفاده‌های دنیای واقعی با استفاده مستند توسط مهاجمان آسیب‌پذیر بودند. از فهرست آسیب‌پذیری‌هایی که توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده نگهداری می‌شود، ۵۵ درصد از سرویس‌های جاوا تحت تأثیر قرار گرفته‌اند، در مقابل ۷ درصد از خدماتی که با استفاده از زبان‌های دیگر ساخته شده‌اند.

یافته‌های اضافی از این گزارش عبارتند از:

• حداقل ۳۸ درصد از سازمان‌هایی که از خدمات وب آمازون (AWS) استفاده می‌کنند، حجم‌های کاری یا اقدامات حساس را به صورت دستی از طریق کنسول AWS در یک محیط تولیدی در یک دوره ۱۴ روزه تکمیل کرده‌اند، به این معنی که به‌جای اتوماسیون، به عملیات کلیک پرخطر متکی بودند. .
• ۶۳% از سازمان‌ها همچنان به اعتبارنامه‌های طولانی مدت -یکی از شایع‌ترین علل نقض داده‌ها- در خط‌های لوله CI/CD تکیه می‌کنند، حتی در مواردی که اعتبارنامه‌های کوتاه مدت بیشتر است. عملی و ایمن.
• تنها بخش کوچکی از آسیب پذیری های شناسایی شده ارزش اولویت بندی را داشتند.
• پذیرش زیرساخت به عنوان کد بالا بود، اما در ارائه دهندگان ابر متفاوت بود.
• اکثریت قریب به اتفاق حملاتی که توسط اسکنرهای امنیتی خودکار انجام می‌شود بی‌خطر بوده و فقط برای مدافعان نویز ایجاد می‌کنند.
• تصاویر سبک وزن منجر به آسیب‌پذیری‌های کمتری می‌شود.

Datadog گفت که یافته‌های آن نشان می‌دهد که شیوه‌های مدرن توسعه با اقدامات امنیتی قوی همراه هستند. این شرکت گفت که امنیت به خودی خود به ارتقای عملیاتی کمک می کند. اما امنیت تنها زمانی واقع‌بینانه است که به تمرین‌کنندگان زمینه و اولویت‌بندی کافی داده شود تا روی موارد مهم تمرکز کنند.