Ключевые факты:

68% организаций государственного сектора имеют долги по безопасности в своих приложениях, 40% имеют критические долги по безопасности высокой степени серьезности
59% всех приложений в госсекторе имеют долги по безопасности, только 2.6% приложений не имеют уязвимостей
93% долгов по безопасности в госсекторе относятся к собственному коду, но большинство критических долгов – в сторонних компонентах
Период полураспада уязвимостей в сторонних компонентах – 14 месяцев, в собственном коде – 8 месяцев
Долги по безопасности концентрируются в старых и крупных приложениях, особенно на Java и .NET
Чтобы предотвратить накопление критических долгов, организациям нужно исправить менее 1% всех уязвимостей

Veracod-State-of-Software-Security-2024-Public-Sector-Snapshot Скачать

Компания Veracode представила срез отчета “Состояние программной безопасности 2024”, посвященный проблеме долгов по безопасности (security debt) в приложениях государственного сектора. Долги по безопасности – это риски, возникающие из-за накопления неисправленных уязвимостей в программном обеспечении.

В этом отчете долгами считаются все уязвимости, остающиеся неисправленными дольше одного года. Согласно анализу Veracode, 68% организаций в госсекторе имеют долги по безопасности в своих приложениях. Еще тревожнее то, что 40% имеют критические долги по безопасности высокой степени серьезности. Они представляют наибольший риск и требуют приоритетного устранения. На уровне отдельных приложений ситуация еще хуже. 59% всех приложений старше года в госсекторе имеют долги по безопасности, и лишь 2.6% полностью свободны от уязвимостей.

Для сравнения, в коммерческих организациях только 42% приложений имеют долги. Большинство (93%) долгов по безопасности в госсекторе относятся к собственному коду, разработанному внутри организаций. Однако критические долги чаще встречаются в сторонних компонентах и библиотеках. Период полураспада уязвимостей (время, за которое исправляется половина) в сторонних компонентах составляет 14 месяцев, а в собственном коде – 8 месяцев.

Долги по безопасности концентрируются в старых и крупных приложениях, особенно написанных на Java и .NET. Эти приложения должны быть в фокусе программ по снижению долгов. Чтобы предотвратить накопление критических долгов по безопасности, организациям госсектора нужно в первую очередь исправить менее 1% всех уязвимостей, представляющих наибольший риск.

После этого можно постепенно работать над остальными категориями уязвимостей. Veracode считает, что эта стратегия снижения долгов реалистична и достижима для большинства организаций. Отчет дает госсектору ориентиры для принятия информированных решений по управлению рисками программной безопасности.