گزارش وضعیت DevSecOps نشان میدهد که ۹۰ درصد از سرویسهای جاوا در معرض آسیبپذیری در کتابخانههای شخص ثالث هستند.
بر اساس “وضعیت DevSecOps، سرویسهای جاوا بیشترین تأثیر را از آسیبپذیریهای شخص ثالث دارند. گزارش ۲۰۲۴” به تازگی توسط ارائه دهنده امنیت ابری Datadog منتشر شده است.
این گزارش در ۱۷ آوریل منتشر شد و نشان داد که ۹۰٪ از سرویسهای Java در معرض یک یا چند آسیبپذیری حیاتی یا با شدت بالا هستند که توسط یک کتابخانه شخص ثالث معرفی شدهاند. میانگین برای سایر زبانها ۴۷% بود.
گزارش Datadog دهها هزار برنامه کاربردی و تصاویر کانتینر و هزاران محیط ابری را برای ارزیابی امنیت برنامه تجزیه و تحلیل کرد. پس از جاوا در ارزیابی آسیبپذیریها جاوا اسکریپت، تقریباً ۷۰٪ بود. Python، در ۶۲%؛ دات نت، در ۵۰%؛ PHP، در ۳۵٪؛ و Go (golang) و Ruby، هر دو در حدود ۳۲%.
سرویسهای جاوا نیز به احتمال زیاد در برابر سوء استفادههای دنیای واقعی با استفاده مستند توسط مهاجمان آسیبپذیر بودند. از فهرست آسیبپذیریهایی که توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده نگهداری میشود، ۵۵ درصد از سرویسهای جاوا تحت تأثیر قرار گرفتهاند، در مقابل ۷ درصد از خدماتی که با استفاده از زبانهای دیگر ساخته شدهاند.
یافتههای اضافی از این گزارش عبارتند از:
- حداقل ۳۸ درصد از سازمانهایی که از خدمات وب آمازون (AWS) استفاده میکنند، حجمهای کاری یا اقدامات حساس را به صورت دستی از طریق کنسول AWS در یک محیط تولیدی در یک دوره ۱۴ روزه تکمیل کردهاند، به این معنی که بهجای اتوماسیون، به عملیات کلیک پرخطر متکی بودند. .
- ۶۳% از سازمانها همچنان به اعتبارنامههای طولانی مدت -یکی از شایعترین علل نقض دادهها- در خطهای لوله CI/CD تکیه میکنند، حتی در مواردی که اعتبارنامههای کوتاه مدت بیشتر است. عملی و ایمن.
- تنها بخش کوچکی از آسیب پذیری های شناسایی شده ارزش اولویت بندی را داشتند.
- پذیرش زیرساخت به عنوان کد بالا بود، اما در ارائه دهندگان ابر متفاوت بود.
- اکثریت قریب به اتفاق حملاتی که توسط اسکنرهای امنیتی خودکار انجام میشود بیخطر بوده و فقط برای مدافعان نویز ایجاد میکنند.
- تصاویر سبک وزن منجر به آسیبپذیریهای کمتری میشود.
Datadog گفت که یافتههای آن نشان میدهد که شیوههای مدرن توسعه با اقدامات امنیتی قوی همراه هستند. این شرکت گفت که امنیت به خودی خود به ارتقای عملیاتی کمک می کند. اما امنیت تنها زمانی واقعبینانه است که به تمرینکنندگان زمینه و اولویتبندی کافی داده شود تا روی موارد مهم تمرکز کنند.
پست های مرتبط
گزارش می گوید که سرویس های جاوا بیشترین آسیب را از آسیب پذیری های شخص ثالث می بینند
گزارش می گوید که سرویس های جاوا بیشترین آسیب را از آسیب پذیری های شخص ثالث می بینند
گزارش می گوید که سرویس های جاوا بیشترین آسیب را از آسیب پذیری های شخص ثالث می بینند