گزارش می گوید که سرویس های جاوا بیشترین آسیب را از آسیب پذیری های شخص ثالث می بینند

گزارش وضعیت DevSecOps نشان می‌دهد که ۹۰ درصد از سرویس‌های جاوا در معرض آسیب‌پذیری در کتابخانه‌های شخص ثالث هستند.

بر اساس “وضعیت DevSecOps، سرویس‌های جاوا بیشترین تأثیر را از آسیب‌پذیری‌های شخص ثالث دارند. گزارش ۲۰۲۴” به تازگی توسط ارائه دهنده امنیت ابری Datadog منتشر شده است.

این گزارش در ۱۷ آوریل منتشر شد و نشان داد که ۹۰٪ از جاوا در معرض یک یا چند آسیب‌پذیری مهم یا با شدت بالا هستند که توسط یک کتابخانه شخص ثالث معرفی شده‌اند. میانگین برای سایر زبان‌ها ۴۷% بود.

گزارش Datadog ده‌ها هزار برنامه کاربردی و تصاویر کانتینر و هزاران محیط ابری را برای ارزیابی امنیت برنامه تجزیه و تحلیل کرد. پس از جاوا در ارزیابی آسیب‌پذیری‌ها، جاوا اسکریپت، تقریباً ۷۰٪ بود. Python، در ۶۲%؛ دات نت، در ۵۰%؛ PHP، در ۳۵٪؛ و برو (golang) و روبی، هر دو در حدود ۳۲%.

سرویس‌های جاوا نیز به احتمال زیاد در برابر سوء استفاده‌های دنیای واقعی با استفاده مستند توسط مهاجمان آسیب‌پذیر بودند. از فهرست آسیب‌پذیری‌هایی که توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده نگهداری می‌شود، ۵۵ درصد از سرویس‌های جاوا تحت تأثیر قرار گرفته‌اند، در مقابل ۷ درصد از خدماتی که با استفاده از زبان‌های دیگر ساخته شده‌اند.

یافته‌های اضافی از این گزارش عبارتند از:

• حداقل ۳۸ درصد از سازمان‌هایی که از خدمات وب آمازون (AWS) استفاده می‌کنند، حجم‌های کاری یا اقدامات حساس را به صورت دستی از طریق کنسول AWS در یک محیط تولیدی در یک دوره ۱۴ روزه تکمیل کرده‌اند، به این معنی که به‌جای اتوماسیون، به عملیات کلیک پرخطر متکی بودند. .
• ۶۳% از سازمان‌ها همچنان به اعتبارنامه‌های طولانی‌مدت اعتماد می‌کنند – یکی از شایع‌ترین دلایل نقض داده‌ها – در خط لوله CI/CD، حتی در مواردی که خطوط لوله کوتاه مدت عملی و ایمن تر هستند.
• تنها بخش کوچکی از آسیب پذیری های شناسایی شده ارزش اولویت بندی را داشتند. 
• پذیرش زیرساخت به عنوان کد بالا بود، اما در ارائه دهندگان ابر متفاوت بود.
• اکثریت قریب به اتفاق حملاتی که توسط اسکنرهای امنیتی خودکار انجام می‌شود بی‌خطر بوده و فقط برای مدافعان نویز ایجاد می‌کنند.
• تصاویر سبک وزن منجر به آسیب‌پذیری‌های کمتری می‌شود.

Datadog گفت یافته‌های آن نشان می‌دهد که روش‌های مدرن devops با تدابیر امنیتی قوی همراه باشید. این شرکت گفت که امنیت به خودی خود به ارتقای عملیاتی کمک می کند. اما امنیت تنها زمانی واقع‌بینانه است که به تمرین‌کنندگان زمینه و اولویت‌بندی کافی داده شود تا روی موارد مهم تمرکز کنند.