- يكشف تقرير حالة أمن البرمجيات 2023 النقاب عن أن أمن البرمجيات يتخلف في منطقة أوروبا والشرق الأوسط وأفريقيا، حيث يحتوي ما يقرب من 20% من التطبيقات على عيوب "عالية الخطورة"
- المؤسسات في منطقة أوروبا والشرق الأوسط وأفريقيا (EMEA) معرضة لخطر متزايد بسبب الثغرات الأمنية في التعليمات البرمجية التي يبنيها الطرف الثالث والذكاء الاصطناعي (AI)
(BUSINESS WIRE)-- أصدرت Veracode، وهي المزود العالمي الرائد لأمن البرامج الذكية, اليوم بحثًا يُشير إلى أن التطبيقات التي طورتها مؤسسات في أوروبا والشرق الأوسط وأفريقيا يُحتمل أن يحتوي الكثير منها على عيوب أمنية مقارنة بتلك التي أنشأتها نظيراتها في الولايات المتحدة. وعبر كل المناطق التي تم تحليلها، تتمتع منطقة أوروبا والشرق الأوسط وأفريقيا (EMEA) أيضًا بأعلى نسبة من العيوب "عالية الخطورة"، مما يعني أنها قد تسبب مشكلة حرجة للشركة إذا تم استغلالها. وترتبط كثرة العيوب ونقاط الضعف في التطبيقات بزيادة مستويات المخاطر، وهو أمر ملحوظ بشكل خاص حيث تهيمن الهجمات الإلكترونية على سلسلة توريد البرامج على العناوين الرئيسية في عام 2023.
واكتشف الباحثون أن ما يزيد قليلاً عن 80 بالمئة من التطبيقات التي طورتها المؤسسات في منطقة أوروبا والشرق الأوسط وأفريقيا (EMEA) بها عيب أمني واحد على الأقل تم اكتشافه في أحدث فحص لها على مدار الاثني عشر شهرًا الماضية، مقارنة بما يقل قليلاً عن 73 بالمئة من المؤسسات الأمريكية. بالإضافة إلى ذلك، كانت نسبة التطبيقات التي تحتوي على عيوب "عالية الخطورة" هي الأعلى بين جميع المناطق، حيث بلغت حوالي 20 بالمئة.
“وقال Chris Eng، كبير مسؤولي الأبحاث في Veracode: "تُظهر بياناتنا أن المؤسسات على مستوى العالم تواصل نشر عدد مثير للقلق من التطبيقات التي تحتوي على عدد كبير من العيوب في قائمة CWE Top 25. وأضاف قائلاً: "ومع ذلك، فقد حددنا اختلافات إقليمية مثيرة للاهتمام، لا سيما فيما يتعلق باستخدام كود الطرف الثالث أو المصدر المفتوح والطرق التي يتم من خلالها إدخال نقاط الضعف عبر دورة حياة التطبيق".
ساعد تحليل البيانات التي تم جمعها من أكثر من 27 مليون عملية مسح على 750000 تطبيق في إنتاج أحدث تقرير سنوي لشركة Veracode حول حالة أمان البرامج. ويعرض هذا التقرير الجديد النتائج الخاصة بمنطقة أوروبا والشرق الأوسط وأفريقيا (EMEA) من عمليات الفحص والتطبيقات هذه، بما في ذلك النتائج من المملكة المتحدة وألمانيا وفرنسا وإيطاليا ومختلف أنحاء الشرق الأوسط وأفريقيا.
لا تنقل الأرقام وحدها عواقب استغلال المتسللين لنقاط ضعف البرامج. ومع استخدام المؤسسات في جميع أنحاء أوروبا والشرق الأوسط وأفريقيا لمزيج أكثر تعقيدًا من برامج الطرف الثالث لتقديم خدماتها، فإن استغلال الثغرات الأمنية الخطيرة يمكن أن يؤثر على آلاف الضحايا في وقت واحد. في وقت سابق من هذا العام، تم استغلال ثغرة أمنية تؤثر على أدوات برامج الطباعة PaperCut MF وPaperCut NG بشكل نشط يتم استغلالها من قبل الجهات المهددة. وأصبح ما يصل إلى 70 ألف منظمة في 200 دولة ضحايا محتملين، ووجدت تقارير إنفاذ القانون أن الجهات الفاعلة المهددة نجحت في اختراق الكيانات الضعيفة في قطاع التعليم.
جافا وكود الطرف الثالث وتقديم عيوب أمنية بالغة
حدد البحث اختلافات إقليمية ملحوظة في استخدام اللغة المفضلة، حيث تم الكشف عن أن Java هي اللغة المفضلة للمطورين في أوروبا والشرق الأوسط وأفريقيا (EMEA). وتبين أن الفرق التي تستخدم Java تعالج العيوب بمعدل أبطأ من تلك التي تستخدم .NET أو JavaScript، مما يتسبب في استمرار العديد من هذه العيوب أو بقائها غير مكتشفة لفترة أطول بكثير. وعلاوة على ذلك، وبما أن أكثر من 95% من تطبيقات جافا تتكون من أكواد برمجية مفتوحة المصدر أو تابعة لطرف ثالث، فإن استخدام جافا يعد عاملاً رئيسيًا في ارتفاع نسبة الثغرات الأمنية التي تطرأ على التطبيقات في المنطقة. وهذا يسلط الضوء على أهمية تحليل تكوين البرمجيات (SCA)، والذي يلتقط العيوب في التعليمات البرمجية مفتوحة المصدر، وقد وجد البحث نسبة أعلى من العيوب التي أبلغت عنها SCA في أوروبا والشرق الأوسط وأفريقيا (EMEA) مقارنة بالمناطق الأخرى.
مع استمرار الذكاء الاصطناعي (AI) التوليدي في اكتساب قوة جذب قوية في تطوير البرمجيات، يزداد خطر التعرض لنقاط الضعف من مصادر خارجية. أظهرت دراسة تم تقديمها في Black Hat في عام 2022، وجود ثغرات أمنية في 40 بالمئة من التعليمات البرمجية التي تمت كتابتها بواسطة نماذج لغوية كبيرة تم تدريبها على كميات هائلة من البيانات غير المكررة، بما في ذلك الملايين من مستودعات GitHub العامة. ولهذا، فمن المهم للمؤسسات الاستفادة من أدوات SCA للعثور على العيوب وإصلاحها، وتمكين المطورين من الاستفادة من الذكاء الاصطناعي دون المساس بأمن التطبيقات.
تُصبح التطبيقات أكثر عرضة للخطر مع مرور الوقت
وأظهر البحث أيضًا استمرار ظهور عيوب جديدة في تطبيقات أوروبا والشرق الأوسط وأفريقيا (EMEA) بمعدل أعلى بكثير عبر دورة حياة التطبيق بأكملها مقارنة بالمناطق الأخرى. وفي حين تستمر مؤسسات أوروبا والشرق الأوسط وأفريقيا (EMEA) في تحديث التطبيقات، كان هناك تركيز أقل على الجودة. وبعد فترة زمنية مدتها خمس سنوات، يواصل 50 بالمئة من التطبيقات في أوروبا والشرق الأوسط وأفريقيا (EMEA) في عرض عيوب جديدة، مقارنة بما يزيد قليلاً عن 30 بالمئة في بقية أنحاء العالم. بشكل عام، بلغت الفرصة الأساسية لحدوث خلل في أي شهر معين 27 بالمئة.
وعلى هذا النحو، ستستفيد المؤسسات في منطقة أوروبا والشرق الأوسط وأفريقيا (EMEA) من توجيه الاهتمام للجزء الأخير من دورة حياة التطبيق وفحص التطبيقات بشكل أكثر انتظامًا. ويلزم أيضًا إعطاء الأولوية للتدريب الأمني للمطورين، حيث توصل البحث إلى أن إكمال 10 مختبرات أمنية تفاعلية يقلل من احتمالية إدخال الخلل من 27 بالمئة إلى حوالي 25 بالمئة في أي شهر معين.
وأضاف Eng: "يسلط تقرير حالة أمن البرمجيات لهذا العام الضوء على أهمية الأمن عبر دورة حياة البرمجيات بأكملها، فضلاً عن الحاجة الملحة لمعالجة المخاطر التي تشكلها التعليمات البرمجية التي يبنيها الطرف الثالث والذكاء الاصطناعي". "وعلى الرغم من أننا لا نزال نشهد حجمًا مثيرًا للقلق من الثغرات الأمنية على مستوى العالم، فإن هذه الأرقام أعلى في أوروبا والشرق الأوسط وأفريقيا (EMEA) عبر جميع المقاييس تقريبًا. ويجب على فرق التطوير في هذه المنطقة أن تغتنم الفرصة لأتمتة أمان البرامج للفحص المنتظم، والنظر بعناية في استخدامها لأدوات الذكاء الاصطناعي (AI)، لتعزيز الأمان وتمكين المطورين.
توصي Veracode State of Software Security EMEA 2023 بأربعة إجراءات يمكن لفرق تطوير البرمجيات اتخاذها لتعزيز وضع الأمن السيبراني لديهم، وهي متاحة للتنزيل من موقع ويب Veracode.
تقرير Veracode State of Software Security 2023 العالمي متاح للتنزيل.
نبذة عن تقرير State of Software Security (حالة أمن البرامج)
يتناول المجلد الثالث عشر من تقرير Veracode السنوي حول حالة أمان البرامج الاتجاهات التاريخية التي تُشكل مشهد البرامج وكيفية تطور الممارسات الأمنية جنبًا إلى جنب مع تلك الاتجاهات. تعتمد نتائج هذا العام على البيانات التاريخية الكاملة المتاحة من خدمات وعملاء Veracode، وتمثل قطاعًا عريضًا من الشركات الكبيرة والصغيرة، وموردي البرامج التجارية، ومتعهدي البرمجيات الخارجيين، والمشاريع مفتوحة المصدر. يحتوي التقرير على نتائج حول التطبيقات التي خضعت للتحليل الثابت والتحليل الديناميكي وتحليل تكوين البرامج و/أو اختبار الاختراق اليدوي من خلال النظام الأساسي السحابي لشركة Veracode.
نبذة عن Veracode
Veracode هو برنامج أمن ذكي. تعمل منصة أمن البرمجيات في Veracode باستمرار على البحث عن العيوب والثغرات في كل مرحلة من مراحل دورة حياة تطوير البرامج الحديثة. وإزاء توفُّر تقنية الذكاء الاصطناعي المتينة التي تم تدريبها بكميات هائلة جدًا من التعليمات البرمجية، يقوم عملاء Veracode بإصلاح العيوب بشكل أسرع وبدقة عالية. تحظى Veracode بثقة فرق الأمن والمطورين وقادة الأعمال من آلاف المؤسسات الرائدة في العالم، وهي الشركة الرائدة التي تواصل إعادة تعريف معنى أمن البرامج الذكي.
حقوق الطبع والنشر © 2023 Veracode, Inc. جميع الحقوق محفوظة. Veracode هي علامة تجارية مُسجَّلة لشركة Veracode, Inc. في الولايات المتحدة وقد تكون مسجَّلة في بعض الولايات القضائية الأخرى. تُعدُّ جميع أسماء المنتجات أو العلامات التجارية أو الشعارات الأخرى مملوكة لأصحابها. جميع العلامات التجارية الأخرى المذكورة هنا هي ملك لأصحابها.
صور / وسائط متعددة متوفرة على : https://www.businesswire.com/news/home/53561684/en
إن نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.
الرابط الثابت
https://www.aetoswire.com/ar/news/53561684ar-1
جهات الاتصال
Katy Gwilliam
kgwilliam@veracode.com
