ጥናት በመንግስት ኤጀንሲዎች ውስጥ የሶፍትዌር ደህንነት መዘግየትን ያሳያል

በቬራኮድ የሶፍትዌር ደህንነት የህዝብ ሴክተር 2023 ሪፖርት መሰረት፣ 82% የመንግስት መተግበሪያዎች የደህንነት ቀዳዳዎች አሏቸው።

የመንግስት ሴክተር አሁንም በአንዳንድ አካባቢዎች ከግሉ አቻው ይበልጣል

የማሰብ ችሎታ ያላቸው የሶፍትዌር ደህንነት መፍትሄዎች ግንባር ቀደም አቅራቢ የሆነው ቬራኮድ ዛሬ ባካሄደው ጥናት በመንግስት ሴክተር ድርጅቶች የተዘጋጁ መተግበሪያዎች በግሉ ሴክተር ውስጥ ከተፈጠሩ አፕሊኬሽኖች የበለጠ የደህንነት ጉድለት አለባቸው ብሏል። እነዚህ ጉልህ ግኝቶች ናቸው ምክንያቱም ብዙ የመተግበሪያ ድክመቶች ከፍ ካለ የአደጋ ደረጃዎች ጋር ስለሚዛመዱ። ጥናቱ የሳይበር ደህንነትን ለማጠናከር በፌዴራል መንግስት በቅርቡ ካደረጋቸው እጅግ በጣም ብዙ ተነሳሽነቶች አንዱ ሲሆን ይህም ተልእኮ-ወሳኝ የመንግስት ተግባራትን በሚያከናውኑ አፕሊኬሽኖች ላይ ያለውን ተጋላጭነት ለመቀነስ የሚደረገውን ጥረት ጨምሮ።

የፍለጋ ውጤት

ተመራማሪዎቹ በመንግስት ሴክተር ድርጅቶች ከተዘጋጁት መተግበሪያዎች ውስጥ 82% የሚጠጉ መተግበሪያዎች ባለፉት 12 ወራት ውስጥ ባደረጉት ጥናት ቢያንስ አንድ የፀጥታ ችግር ከግሉ ሴክተር ድርጅቶች 74% ጋር ሲወዳደር ተገኝቷል። እንደተገለጸው የስህተት አይነት፣የህዝብ ሴክተር አፕሊኬሽኖች ባለፉት 12 ወራት ውስጥ ከ7-12 በመቶ ስህተት የማስተዋወቅ እድላቸው ከፍተኛ ነው።

"በሕዝብ እና በግሉ ሴክተር አፕሊኬሽኖች ውስጥ ባለው የስህተት ክስተት መጠን መካከል ያለው ልዩነት ከፍተኛ ነው። መንግስት ክፍተቱን መዝጋቱን መቀጠል አለበት። የህዝብ ደህንነት ተሟጋቾች እንደመሆናቸው መጠን የመንግስት ኤጀንሲዎች ይህንን ክፍተት በመዝጋት ሀገሪቱን እና ዜጎቿን ለመጠበቅ የፀጥታ ጥበቃን የማጠናከር ሃላፊነት አለባቸው ሲሉ የቬራኮድ የምርምር ዳይሬክተር ክሪስ ኢንጅ ተናግረዋል።

በ27 አፕሊኬሽኖች ውስጥ ከ750.000 ሚሊዮን በላይ ስካን የተሰበሰበ መረጃ ትንተና የቬራኮድን የቅርብ ጊዜውን የሶፍትዌር ደህንነት ሁኔታ አመታዊ ሪፖርት ለማዘጋጀት አግዟል። ይህ አዲስ ሪፖርት የፌዴራል፣ የክልል እና የአካባቢ መንግስት ግኝቶችን ጨምሮ ከእነዚያ ስካን እና አፕሊኬሽኖች የህዝብ ሴክተር-ተኮር ግኝቶችን ይዘረዝራል።

አሃዞች ብቻ የጠላፊ ድርጊቶች የሶፍትዌር ስህተቶችን እና ተጋላጭነቶችን ሲጠቀሙ የሚያስከትለውን መዘዝ አይገልጹም። በዚህ አመት በግንቦት ወር መጀመሪያ ላይ በዳላስ ከተማ ላይ የደረሰው የራንሰምዌር ጥቃት የህዝብ ደህንነት ኤጀንሲዎች የሚጠቀሙባቸውን የኮምፒዩተር ስርዓቶችን ጨምሮ የህዝብ አገልግሎቶችን ዋና ተግባር አናውጦ ነበር። ጥቃቱ ከተፈጸመ ከሶስት ሳምንታት በላይ በዳላስ ያሉ የህዝብ ኤጀንሲዎች አሁንም አላገገሙም።

በጣም ከባድ የሆኑ ድክመቶች: ለህዝብ ሴክተር ድል

የቬራኮድ ጥናት የህዝብ ሴክተር ድርጅቶች ለምን የመተግበሪያ ደህንነት ላይ ብሩህ ተስፋ እንዳላቸው አጉልቶ አሳይቷል። በ16,5 ወራት ጊዜ ውስጥ በህዝብ ሴክተር አፕሊኬሽኖች (12%) ውስጥ "በጣም ከባድ" ስህተቶች መገኘቱ ከህዝብ ሴክተር ካልሆኑ መተግበሪያዎች (19%) ያነሰ ነበር። ይህ በጣም አስፈላጊ ነው, ምክንያቱም በጣም ከባድ የሆኑ ስህተቶች, ጥቅም ላይ ከዋሉ, በስርዓቶች ላይ የበለጠ አሉታዊ ተፅእኖ ሊኖራቸው ይችላል.

የዘመናዊ አፕሊኬሽን ፍተሻ የተለያዩ የደህንነት መቃኛ መሳሪያዎችን መጠቀምን ያበረታታል፣ ለምሳሌ Static Security Testing (SAST) እና Software Composition Analysis (SCA)፣ ምክንያቱም የተለያዩ የፍተሻ አይነቶች የተለያዩ አይነት ስህተቶችን ለመለየት በጣም ጥሩ ናቸው። SAST እና SCA በግሉ ሴክተር ውስጥ ካሉ መተግበሪያዎች በሕዝብ ሴክተር ውስጥ ባሉ አካላት ዝቅተኛ መቶኛ ውስጥ የመተግበሪያ ስህተቶችን አግኝተዋል።

የኤስሲኤ መሳሪያዎችን ሲጠቀሙ ያነሱ ስህተቶችን መለየት የሜይ 2021 አስፈፃሚ ትዕዛዝ (EO 14028) የመጀመሪያ ተፅእኖን ሊያመለክት ይችላል ይህም የአሜሪካ የፌደራል ኤጀንሲዎች የሶፍትዌር አቅርቦት ሰንሰለትን ለመጠበቅ ጥረቶችን እንዲያጠናክሩ መመሪያ ይሰጣል። ይህ ኢኦ በተጨማሪም የሶፍትዌር ሂሳቦችን (SBOMs)፣ በሶፍትዌር ውስጥ ጥቅም ላይ የሚውሉ ንጥረ ነገሮች ዝርዝሮችን በስፋት መጠቀምን ይጠይቃል፣ በዚህም መጋራትን፣ ግልፅነትን እና ታይነትን ያጎለብታል። በሌላ ቦታ፣ የፌዴራል ስጋት እና የፈቃድ አስተዳደር ፕሮግራም (FedRAMP) የደመና ምርቶችን እና አገልግሎቶችን የደህንነት ግምገማ መደበኛ ያደርገዋል። በተመሳሳይ፣ StateRAMP የክልል እና የአካባቢ መንግስታት የደመና አገልግሎት አቅራቢዎችን ከሳይበር ደህንነት ፖሊሲዎች ጋር መከበራቸውን እንዲያረጋግጡ ያስችላቸዋል።

አንድ ኦውንስ መከላከል የአንድ ፓውንድ ፈውስ ዋጋ አለው።

በመንግስት እና በግሉ ሴክተር አፕሊኬሽኖች መካከል ያለው ትልቅ ልዩነት ፍተሻ በፈጣን ጊዜ ያለፈባቸው ሶፍትዌሮች አዳዲስ ስህተቶችን እንዴት እንደሚያገኝ ነው። ሶፍትዌሩ ለአምስት ዓመታት ሲሰራ ሁለቱ ኢንዱስትሪዎች በከፍተኛ ሁኔታ ይለያያሉ፡ በግሉ ሴክተር አፕሊኬሽኖች ውስጥ የገቡት አዳዲስ ስህተቶች መጠን ይጨምራል፣ በመንግስት ሴክተር ኤጀንሲዎች ግን መጠኑ ይቀንሳል።

ይህ አዝማሚያ የሚያመለክተው የመንግስት ሴክተር ኤጀንሲዎች በጠቃሚ ሕይወታቸው የመጀመሪያዎቹ ጥቂት ዓመታት ውስጥ ብቻ ሳይሆን በጊዜ ሂደት ደህንነታቸውን ለመጠበቅ የበለጠ ትኩረት እየሰጡ ነው። ከመንግስት ውጭ ያሉ አፕሊኬሽኖች በአንፃሩ አዳዲስ ስህተቶች ጊዜ ያለፈባቸው ሲሆኑ ቀስ በቀስ እና በየጊዜው እየጨመሩ ይሄዳሉ።

የሶፍትዌር ደህንነት የህዝብ ሴክተር 2023 ሪፖርት ኤጀንሲዎች የሳይበር ደህንነት አቋማቸውን ለማሻሻል አራት እርምጃዎችን መውሰድ እንዳለባቸው ይመክራል።

• መልሶ ማግኘት፡ የታወቁ ስህተቶችን የኋላ ታሪክ ያስወግዱ
• ወቅታዊ ፍተሻዎችን ያድርጉ፡ በዘፈቀደ የሚደረግ ቅኝት ስህተቶችን ለማስተካከል የበለጠ አስቸጋሪ ያደርገዋል፣ ይህም የኋላ መዛግብትን ይጨምራል
• አውቶሜትድ፡ ሙከራዎችን በኤፒአይ አውቶማቲክ ማድረግ ስህተቶችን ወደ አፕሊኬሽኖች ማስገባትን ይቀንሳል
• DAST ወደ ቁልል ያክሉ፡ ሌሎች የፍተሻ አይነቶች ያመለጡ ስህተቶችን ለማግኘት ተለዋዋጭ ቅኝትን ይጠቀሙ

"የፐብሊክ ሴክተሩ መንግስታችንን የሚያገለግሉ አፕሊኬሽኖች ደህንነትን በማጠናከር ረጅም ርቀት ተጉዟል ነገር ግን ኤጀንሲዎች የሳይበርን አቀማመጥ ለማሻሻል እና የሚመጡ ስጋቶችን ለመከላከል ገና ብዙ ይቀራሉ። የደህንነት ጥረቶችን በአብዛኛዎቹ የሳይበር ጥሰቶች ዋና መንስኤ ላይ በማተኮር - የመተግበሪያው ንብርብር - ኤጀንሲዎች አስፈላጊውን ማሻሻያ ማድረግ ይችላሉ። በተለያዩ የፈተና ዓይነቶች በየጊዜው መቃኘት እና የደህንነት ዕዳን መፍታት - የሶፍትዌር ውስጥ የተከማቸ የስርዓት ደህንነትን አደጋ ላይ የሚጥሉ ድክመቶችን - ለመንግስት ኤጀንሲዎች የበለጠ አስተማማኝ የወደፊት ተስፋ መንገድ ይከፍታል "ሲል ኢንጂነር ደመደመ።

ከቬራኮድ የሶፍትዌር ደህንነት ሪፖርት የመንግስት ሴክተር ጥናት ሙሉ እትም ይገኛል እና በመንግስት ኤጀንሲዎች ላይ ንፅፅር መለኪያዎችን ያቀርባል።

ስለ ሶፍትዌር ደህንነት ሪፖርት ሁኔታ

የቬራኮድ አመታዊ የሶፍትዌር ደህንነት ሁኔታ ሪፖርት ቅጽ 13 የሶፍትዌር መልክዓ ምድሩን የሚቀርጹትን ታሪካዊ አዝማሚያዎች እና የደህንነት ልማዶች በእነዚህ አዝማሚያዎች እንዴት እንደሚለወጡ ይመረምራል። የዚህ አመት ውጤቶች በቬራኮድ አገልግሎቶች እና ደንበኞች በሚቀርቡት ሁሉም ታሪካዊ መረጃዎች ላይ የተመሰረተ እና ትላልቅ እና ትናንሽ ኩባንያዎችን, የንግድ ሶፍትዌር አቅራቢዎችን, የሶፍትዌር የውጭ ምንጮችን እና ክፍት ምንጭ ፕሮጀክቶችን ይወክላል. ሪፖርቱ በቬራኮድ ደመና ላይ በተመሰረተ መድረክ በኩል የማይንቀሳቀስ ትንተና፣ ተለዋዋጭ ትንተና፣ የሶፍትዌር ቅንብር ትንተና እና/ወይም በእጅ የመግባት ሙከራ በተደረጉ መተግበሪያዎች ላይ ውጤቶችን ይዟል። ሪፖርቱ በቬራኮድ ደንበኞች የቀረበውን መረጃ እና በቬራኮድ ትንተና ሂደት ውስጥ የተሰላ ወይም የተገኘውን መረጃ ይመለከታል።

BlogInnovazione.it