افزایش تعداد نفوذ‌ها در برابر کمبود بودجه برنامه‌نویسان

درحالی که حملات سایبری علیه برنامه‌های تحت وب روز به روز درحال افزایش است اما بودجه امنیتی برنامه‌نویسان هنوز کم باقی مانده است.
براساس گزارش شرکت نرم‌افزاری Checkmarx سه مطالعه‌ای که اخیراً انجام شده نشان‎دهنده‌ چالش پیش‌رو برنامه‌نویسان است در حالی که با حملات روزافزون مواجه هستند. در این گزارش بر نیاز بیشتر به منابع تاکید شده تا کد‌های جاوا اسکریپت امنی در محصولات شرکت‌ها و محصولات متن‌باز ارائه شوند.
همان‌طور که مطالعه مروری رخنه‌های سال ۲۰۱۶ نشان می‌دهد حملات علیه همه بخش‌های تجاری به‎طور قابل توجهی افزایش یافته‌ است و در این میان خدمات مالی با افزایش حملات ۵۱ درصدی روبرو بوده‌اند. هم‌چنین در این گزارش آمده‌است CVE‌ ها (آسیب‌پذیری و رخنه‌های رایج) آن‌طور که باید به سرعت آدرس‌دهی نمی‌شوند به طوری که ۱۰ آسیب‌پذیری مهم، ۸۵ درصد بهره‌برداری‌‌های موفق را تشکیل می‌دهند.
بسیاری از برنامه‌نویسان به سوی زبان‌های برنامه‌نویسی مبتنی بر جاوا و اسکریپت‌ها متمایل شده‌اند. بر اساس گزارش سالیانه StackOverflow ،۸۵ درصد برنامه‌نویسانی که بر روی برنامه‌های full stack کارمی‌کنند از جاوا اسکریپت با جاوا برای برنامه‌‌هایشان استفاده می‌کنند.
طبق گزارش امنیتی موسسه SANS، آگاهی برنامه‌نویسان با توجه به کنترل‌های امنیتی رو به افزایش است. در این گزارش آمده‌ است ابزارها و روش‌ها به عنوان دو عامل مهم در حفط امنیت برنامه‌ها باید مورد توجه قرار گیرند. چالش سومی که ۳۷ درصد از شرکت‌کنندگان آن ‌را اعلام کرده‌اند کمبود منابع مالی بوده ‌است. ۳۰ درصد از برنامه‌نویسان گفته‌اند که به طور مرتب برنامه‌ها را در حین توسعه آزمایش می‌کنند اما ۵۳ درصد هنوز می‌گویند که زمانی که برنامه‌ها به محصول تبدیل شد اقدام به آزمون آن‌ها می‌کنند.
۵۷ درصد شرکت‌کنندگان در این پژوهش اظهار کرده‌اند بین ۱ تا ۲۵ آسیب‌پذیری را هر ماه می‌یابند. ۲۴ درصد نیز معتقدند بیش از نیمی از آسیب‌پذیری‌های حیاتی مرتبط با اشکالات کد است.
آمیت آشبل، متخصص امنیتی و مدیر بخش بازاریابی محصول Checkmarx می‌گوید: «توسعه‌دهندگان به سمت جاوا اسکریپت متمایل شده‌اند، بدان‌ معنا که از آن‌ها خواسته می‌شود برنامه‌هایی بنویسند که چرخه توسعه سریع‌تری داشته ‌باشند. با این وجود، تعداد حملات علیه این برنامه‌ها به طور فزاینده‌ای افزایش یافته حال آن‌که بودجه امنیتی ثابت مانده‌ است. این جایگاه درست نیست و شرکت‌های مربوطه اگر می‌خواهند جلوی بدتر شدن مشکلات روزافزون امنیتی را بگیرند می‌بایست در تخصیص بودجه‌های امنیتی‌شان تجدید نظر کنند. سرمایه‌گذاری در آموزش برنامه‌نویسان برای نوشتن برنامه‌های امن و هم‌چنین تولید ابزارهای آزمون جعبه سفید به مراتب بازگشت سرمایه بیشتری نسبت به هزینه وصله‎ی رخنه‌ها و آسیب‌پذیری‌ها دارند، هرینه‌هایی که تنها مالی نبوده بلکه به شهرت و اعتبار محصولات و شرکت مربوطه نیز تاثیر منفی زیادی وارد می‌کنند. »

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.