Thursday, August 25, 2022

برمجيات الخدمات المالية تحتوي على عيوب أمنية أقل من مقارنةً بنظيراتها بمعظم القطاعات

 

يسجل معدل إصلاح العيوب البرمجية في قطاع التمويل تباطؤاً على الرغم من قلّة انتشارها


 


30 في المائة من العيوب مفتوحة المصدر تبقى دون حل بعد عامين من اكتشافها


(بزنيس واير): أصدرت اليوم شركة "فيراكود"، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات، بيانات تكشف عن تصنيف قطاع الخدمات المالية من بين أفضل القطاعات من حيث نسبة العيوب الإجمالية مقارنةً بالقطاعات الأخرى، إلّا أنّه يتمتع بأحد أدنى معدلات إصلاح عيوب أمن البرمجيات. كذلك يحتل هذا القطاع موقعاً وسطياً في قائمة القطاعات التي تحتوي على عيوب شديدة الخطورة، إذ تحتوي 18 في المائة من تطبيقاته على ثغرات خطيرة، ما يشير إلى وجوب إعطاء الشركات المالية الأولوية لتحديد العيوب الأكثر أهمية ومعالجتها.


 


وأُوجزت نتائج هذه البيانات في تقرير حالة أمن البرمجيات السنوي للشركة بنسخته الـ12، الذي حلل 20 مليون عملية مسح لنصف مليون تطبيق في القطاعات المالية والتكنولوجية والتصنيع والبيع بالتجزئة والرعاية الصحية والقطاعات الحكومية. ومن ضمن القطاعات الستة، سجّل القطاع المالي ثاني أقل نسبة من حيث التطبيقات التي تحتوي على عيوب أمنية، بلغت 73 في المائة. وفي تقرير العام الماضي، سجّل القطاع أقل عدد من عيوب أمن البرمجيات من بين جميع القطاعات، إلّا أنّه تراجع خلف قطاع التصنيع في دارسة هذا العام. وعلى الرغم من وجود عدد أقل من العيوب بشكل عام، يحتل قطاع الخدمات المالية المرتبة الأخيرة مع قطاع التكنولوجيا والقطاع الحكومي بتسجيلهم أدنى نسبة عيوب تم إصلاحها.


 


وقال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة "فيراكود" في هذا السياق: "تتمثل إحدى مزايا خدمة مجتمع تطوير البرمجيات لأعوام عديدة في قدرة شركة ’فيراكود‘ على ملاحظة التغييرات في ممارسات التطوير في القطاعات بمرور الوقت. فقد وجدنا أنّه بينما سجّلت تطبيقات الخدمات المالية عيوباً أمنية أقل من العام الماضي، سجّل القطاع تباطؤاً في معدل الإصلاح مقارنةً بالقطاعات الأخرى. وأظهر بحثنا قدرة التدريب الأمني على تحسين سرعات المعالجة بشكل ملموس، وأنّ الشركات التي أكملت فرق التطوير لديها تدريباً عملياً باستخدام تطبيقات فعلية أصلحت عيوباً أسرع بنسبة 35 في المائة نظيراتها التي لم تخضع لهذا النوع من التدريب".


 


تأمين سلسلة توريد البرمجيات العالمية


ومع أنّ الفرصة ما تزال سانحةً لإحراز تقدم فيما يتعلّق بانتشار العيوب ومعدلات معالجتها، إلّا أنّ مؤسسات الخدمات المالية تتحرّك بوتيرة أسرع من معظم المؤسسات الأخرى عندما تقوم بإصلاح المشاكل التي تهددها.


وقال إنج تعليقاً على هذه النتائج: "سلّط الأمر التنفيذي الأمريكي للأمن السيبراني، إلى جانب تفويضات الضوابط الأمنية المتعلقة بالاستخدامات مفتوحة المصدر، مثل النظام الأوروبي العام لحماية البيانات ولوائح الأمن السيبراني لإدارة الخدمات المالية في نيويورك، الضوء على أهمية تأمين سلسلة توريد البرمجيات. وباعتباره قطاعاً شديد التنظيم، فإنّ ذلك يُفسّر سرعة القطاع المالي النسبية في معالجة المكتبات الضعيفة المكتشفة من خلال تحليل تكوين البرمجيات".


وغالباً ما تبقى العيوب الموجودة في مكتبات الطرف الثالث والتي تُكتشف من خلال تحليل تكوين البرمجيات فترةً أطول في جميع القطاعات، مع بقاء 30 في المائة منها من دون حل بعد عامين. ومع ذلك، عندما يتعلق الأمر بمعالجة نقاط الضعف مفتوحة المصدر، فإن القطاع المالي يعالج عيوبه بنفس وتيرة القطاعات الأخرى للسنة الأولى، ولكنه بعد ذلك يسرع من وتيرته ليكسب شهراً على متوسط القطاع.


وعلى الرغم من أن القطاع المالي يتفوق في أدائه على معظم القطاعات الأخرى في أوقات إصلاح العيوب تُكتشف بواسطة التحليل الديناميكي وتحليل تكوين البرمجيات والتحليل الثابت، وجدت الدراسة أن الفرصة ما تزال سانحةً لكثير من التحسين المستمر عند النظر إلى عدد الأيام التي يستغرقها حل 50 في المائة من العيوب، أي 116 يوماً للتحليل الديناميكي، و385 يوماً لتحليل تكوين البرمجيات، و288 يوماً للتحليل الثابت. ومن خلال مكونات الجهات الخارجية التي تشتمل على ما يصل إلى 90 في المائة* من قاعدة بيانات التطبيق، يقلّل المسح المبكر وغالباً ما يستخدم مجموعة من أنواع الاختبار من أعمال معالجة الطوارئ غير المخطط لها ويخفف من مخاطر إدخال ثغرات أمنية تابعة لجهات خارجية في البرمجية.


يمكنكم تنزيل عرض الخدمات المالية الخاص بتقرير حالة أمن البرمجيات من "فيراكود" بنسخته الـ12 هنا، ومشاهدة فيديو نتائج التقرير هنا.


*  مؤسسة "لينكس فاوندايشن ستاتيستا"، جوزيف بيرلو، " ملخص الإحصاء الثاني: مكتبات تطبيقات البرمجيات مفتوحة المصدر التي يعتمد عليها العالم". https://www.statista.com/statistics/617136/digital-population-worldwide/ ، 7 مارس 2022.


 


لمحة عن تقرير حالة أمن البرمجيات


حلّل تقرير حالة أمن البرمجيات من "فيراكود" بنسخته الـ12 البيانات التاريخية الكاملة من خدمات وعملاء "فيراكود". وتمثل هذه البيانات إجمالي أكثر من نصف مليون تطبيق (592,720) استخدم جميع أنواع المسح، وأكثر من مليون عملية مسح للتحليل الديناميكي (1,034,855)، وأكثر من خمسة ملايين عملية مسح للتحليل الثابت (5,137,882) وأكثر من 18 مليون مسح لتحليل تكوين البرمجيات (18,473,203). وأنتجت كل عمليات المسح 42 مليون نتيجة ثابتة أولية، و3.5 مليون نتيجة ديناميكية أولية، وستة ملايين نتيجة تحليل تكوين برمجيات أولية.


وتمثل البيانات الشركات الكبيرة والصغيرة وموردي البرمجيات التجارية ومتعاقدي البرمجيات الخارجيين والمشاريع مفتوحة المصدر. وفي معظم التحليلات، تم احتساب التطبيق مرة واحدة فقط، حتى لو تم إرساله عدة مرات إلى المكان الذي تمت فيه معالجة الثغرات الأمنية وتحميل إصدارات جديدة.


 


لمحة عن "فيراكود"


تعدّ "فيراكود" شركة رائدة في مجال أمن التطبيقات، تتمثل مهمتها في ابتكار برمجيات آمنة، وخفض المخاطر الناجمة عن الخروقات الأمنية، وزيادة إنتاجية فرق التطوير والأمن. نتيجة لذلك، أصبحت الشركات التي تستخدم "فيراكود" قادرة على تطوير أعمالها والعالم أجمع. ومن خلال مزيج خدماتها، من أتمتة العمليات وعمليات التكامل والسرعة والاستجابة، تساعد "فيراكود" الشركات في الحصول على نتائج دقيقة وموثوقة لتركيز جهودها على إصلاح الثغرات المحتملة وليس العثور عليها فحسب.


 


للمزيد من المعلومات، يُرجى زيارة الموقع الإلكتروني التالي: www.veracode.com، ومدوّنة "فيراكود"، ومتابعتنا على "تويتر".


 


حقوق الطبع محفوظة لـشركة "فيراكود" 2022. جميع الحقوق محفوظة. إنّ "فيراكود" علامة تجارية مسجلة لـشركة "فيراكود" في الولايات المتحدة وغيرها من الولايات القضائية. إنّ جميع أسماء المنتجات أو العلامات التجارية أو الشعارات الأخرى مملوكة لأصحابها. وإنّ جميع العلامات التجارية الأخرى المذكورة هنا هي ملك لأصحابها المعنيين.


يمكنكم الاطلاع على النسخة الأصلية من هذا البيان الصحفي على موقع (businesswire.com) عبر الرابط الإلكتروني التالي: https://www.businesswire.com/news/home/20220823005500/en/


إن نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.