پبلک سیکٹر اب بھی کچھ علاقوں میں اپنے نجی ہم منصب سے زیادہ ہے۔
ویرا کوڈ، ذہین سافٹ ویئر سیکیورٹی حل فراہم کرنے والے ایک سرکردہ ادارے نے آج ایک مطالعہ جاری کیا جس میں پتا چلا کہ پبلک سیکٹر کی تنظیموں کی جانب سے تیار کردہ ایپلیکیشنز میں نجی شعبے میں تخلیق کردہ ایپلی کیشنز کے مقابلے زیادہ سیکیورٹی خامیاں پائی جاتی ہیں۔ یہ اہم نتائج ہیں کیونکہ زیادہ درخواست کی کمزوریاں خطرے کی اعلی سطح کے ساتھ منسلک ہوتی ہیں۔ یہ مطالعہ وفاقی حکومت کے متعدد حالیہ اقدامات میں سے ایک ہے جس کا مقصد سائبر سیکیورٹی کو مضبوط بنانا ہے، بشمول مشن کے لیے اہم حکومتی کام انجام دینے والی ایپلی کیشنز میں کمزوریوں کو کم کرنے کی کوششیں۔
محققین نے پایا کہ پبلک سیکٹر کی تنظیموں کی طرف سے تیار کردہ تقریباً 82% ایپلیکیشنز میں گزشتہ 12 مہینوں میں ان کے تازہ ترین اسکین میں کم از کم ایک حفاظتی خامی کا پتہ چلا جب کہ نجی شعبے کی تنظیموں کے 74% کے مقابلے میں۔ شناخت کی گئی غلطی کی قسم پر منحصر ہے، پبلک سیکٹر کی ایپلی کیشنز میں پچھلے 12 مہینوں میں 7-12% کی شرح سے غلطی متعارف کرانے کا زیادہ امکان تھا۔
"پبلک اور پرائیویٹ سیکٹر ایپلی کیشنز میں غلطی کی شرح کے درمیان فرق نمایاں ہے۔ حکومت کو اس خلا کو ختم کرنا جاری رکھنا چاہیے۔ عوامی تحفظ کے حامیوں کے طور پر، سرکاری ایجنسیوں کی ذمہ داری ہے کہ وہ اس خلا کو ختم کریں اور ملک اور اس کے شہریوں کی حفاظت کے لیے سیکورٹی کو مضبوط کریں،" ویراکوڈ کے ڈائریکٹر ریسرچ کرس اینگ نے کہا۔
27 ایپلی کیشنز میں 750.000 ملین سے زیادہ اسکینوں سے جمع کردہ ڈیٹا کے تجزیوں نے Veracode کی تازہ ترین سالانہ اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ تیار کرنے میں مدد کی۔ اس نئی رپورٹ میں ان اسکینز اور ایپلی کیشنز سے حاصل کردہ پبلک سیکٹر کے مخصوص نتائج کا خاکہ پیش کیا گیا ہے، بشمول وفاقی، ریاستی اور مقامی حکومت کے نتائج۔
صرف اعداد و شمار ہیکر کی کارروائیوں کے نتائج کا اظہار نہیں کرتے جب وہ سافٹ ویئر کی خرابیوں اور کمزوریوں کا استحصال کرتے ہیں۔ اس سال کے اوائل میں، ڈلاس شہر کے خلاف رینسم ویئر کے حملے نے عوامی خدمات کی بنیادی فعالیت کو ہلا کر رکھ دیا، بشمول پبلک سیفٹی ایجنسیوں کے زیر استعمال کمپیوٹر سسٹم۔ حملے کے تین ہفتوں سے زیادہ گزرنے کے بعد بھی، ڈلاس میں سرکاری ایجنسیاں ابھی تک بحال نہیں ہوئیں۔
ویرا کوڈ کے مطالعہ نے اس بات پر بھی روشنی ڈالی کہ پبلک سیکٹر کی تنظیمیں درخواست کی حفاظت کے بارے میں پرامید کیوں ہیں۔ 16,5 ماہ کی مدت میں پبلک سیکٹر ایپلی کیشنز میں "انتہائی سنگین" غلطیوں کی دریافت (12%) غیر سرکاری شعبے کی درخواستوں (19%) کے مقابلے میں کم تھی۔ یہ اہم ہے، کیونکہ بہت سنگین غلطیاں، اگر ان کا استحصال کیا جائے تو، سسٹمز پر زیادہ منفی اثر ڈال سکتا ہے۔
جدید ایپلیکیشن ٹیسٹنگ سیکیورٹی اسکیننگ کے مختلف ٹولز کے استعمال کی حوصلہ افزائی کرتی ہے، جیسے سٹیٹک سیکیورٹی ٹیسٹنگ (SAST) اور سافٹ ویئر کمپوزیشن اینالیسس (SCA)، کیونکہ مختلف قسم کے اسکینز مختلف قسم کی غلطیوں کو ننگا کرنے کے لیے بہترین ہیں۔ SAST اور SCA کو نجی شعبے میں درخواستوں کے مقابلے میں سرکاری شعبے میں اداروں کے کم فیصد میں درخواست کی غلطیاں پائی گئیں۔
SCA ٹولز کا استعمال کرتے وقت کم غلطیوں کی نشاندہی کرنا مئی 2021 کے ایگزیکٹو آرڈر (EO 14028) کے ابتدائی اثرات کا اشارہ دے سکتا ہے، جو امریکی وفاقی ایجنسیوں کو ہدایت کرتا ہے کہ وہ سافٹ ویئر سپلائی چین کی حفاظت کے لیے کوششیں تیز کریں۔ یہ EO سافٹ ویئر بلز آف میٹریل (SBOMs)، سافٹ ویئر میں استعمال ہونے والے مادوں کی فہرستوں کے زیادہ استعمال کا بھی مطالبہ کرتا ہے، اس طرح اشتراک، شفافیت اور مرئیت کو فروغ دیتا ہے۔ دوسری جگہوں پر، فیڈرل رسک اینڈ اتھورائزیشن مینجمنٹ پروگرام (FedRAMP) کلاؤڈ پروڈکٹس اور سروسز کے سیکورٹی کے جائزے کو معیاری بناتا ہے۔ اسی طرح، StateRAMP ریاستی اور مقامی حکومتوں کو کلاؤڈ سروس فراہم کرنے والوں کی سائبرسیکیوریٹی پالیسیوں کے ساتھ تعمیل کی تصدیق کرنے کی اجازت دیتا ہے۔
پبلک اور پرائیویٹ سیکٹر کی ایپلی کیشنز کے درمیان ایک واضح فرق یہ ہے کہ اسکین کتنی جلدی پرانے سافٹ ویئر میں نئی غلطیوں کو ننگا کرتی ہے۔ جب یہ سافٹ ویئر پانچ سالوں سے پروڈکشن میں ہے، تو دونوں صنعتیں واضح طور پر مختلف ہو جاتی ہیں: نجی شعبے کی ایپلی کیشنز میں متعارف کرائی گئی نئی غلطیوں کی شرح بڑھ جاتی ہے، جب کہ پبلک سیکٹر ایجنسیوں میں یہ شرح کم ہو جاتی ہے۔
یہ رجحان ظاہر کرتا ہے کہ پبلک سیکٹر ایجنسیاں وقت کے ساتھ ساتھ ایپلی کیشنز کو محفوظ رکھنے پر زیادہ توجہ دے رہی ہیں نہ کہ صرف اپنی مفید زندگی کے ابتدائی چند سالوں کے دوران۔ حکومت سے باہر کی درخواستیں، اس کے برعکس، نئی غلطیوں کے تعارف میں بتدریج اور مسلسل اضافہ ظاہر کرتی ہیں کیونکہ وہ متروک ہو جاتی ہیں۔
"پبلک سیکٹر نے ہماری حکومت کی خدمت کرنے والی ایپلی کیشنز کی حفاظت کو مضبوط بنانے میں ایک طویل سفر طے کیا ہے، لیکن ایجنسیوں کو اپنی سائبر پوزیشن کو بہتر بنانے اور آنے والے خطرات کو روکنے کے لیے ابھی بھی طویل سفر طے کرنا ہے۔ زیادہ تر سائبر خلاف ورزیوں کی بنیادی وجہ — ایپلیکیشن لیئر — پر سیکیورٹی کی کوششوں پر توجہ مرکوز کرکے ایجنسیاں ضروری بہتری حاصل کر سکتی ہیں۔ وقتاً فوقتاً مختلف قسم کے ٹیسٹوں کے ساتھ اسکین کرنا اور سیکیورٹی قرضوں کو دور کرنا — سافٹ ویئر میں جمع کمزوریاں جو کسی سسٹم کی سیکیورٹی کو خطرہ بناتی ہیں — حکومتی اداروں کے لیے زیادہ محفوظ مستقبل کی راہ ہموار کرے گی،‘‘ Eng نے نتیجہ اخذ کیا۔
Veracode کی اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ سے پبلک سیکٹر اسٹڈی کا مکمل ورژن دستیاب ہے اور تمام سرکاری اداروں میں تقابلی میٹرکس پیش کرتا ہے۔
Veracode کی سالانہ اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ کا والیم 13 سافٹ ویئر کے منظر نامے کو تشکیل دینے والے تاریخی رجحانات اور ان رجحانات کے ساتھ سیکیورٹی کے طریقوں میں تبدیلی کا جائزہ لیتا ہے۔ اس سال کے نتائج Veracode سروسز اور صارفین کے فراہم کردہ تمام تاریخی ڈیٹا پر مبنی ہیں اور بڑی اور چھوٹی کمپنیوں، تجارتی سافٹ ویئر فروشوں، سافٹ ویئر آؤٹ سورسرز اور اوپن سورس پروجیکٹس کے کراس سیکشن کی نمائندگی کرتے ہیں۔ رپورٹ میں ویرا کوڈ کے کلاؤڈ بیسڈ پلیٹ فارم کے ذریعے جامد تجزیہ، متحرک تجزیہ، سافٹ ویئر کمپوزیشن تجزیہ، اور/یا دستی دخول کی جانچ سے مشروط ایپلی کیشنز کے نتائج شامل ہیں۔ رپورٹ میں Veracode کے صارفین کی طرف سے فراہم کردہ ڈیٹا اور Veracode کے تجزیہ کے دوران کی گئی یا اخذ کردہ معلومات پر غور کیا گیا ہے۔
BlogInnovazione.it
انٹرفیس کی علیحدگی کا اصول آبجیکٹ پر مبنی ڈیزائن کے پانچ ٹھوس اصولوں میں سے ایک ہے۔ ایک کلاس میں ہونا چاہیے…
مائیکروسافٹ ایکسل ڈیٹا کے تجزیے کے لیے ریفرنس ٹول ہے، کیونکہ یہ ڈیٹا سیٹس کو منظم کرنے کے لیے بہت سی خصوصیات پیش کرتا ہے،…
2017 سے ریئل اسٹیٹ کراؤڈ فنڈنگ کے شعبے میں یورپ کے رہنماؤں کے درمیان والینس، سم اور پلیٹ فارم، تکمیل کا اعلان کرتا ہے…
Filament ایک "تیز رفتار" Laravel ڈویلپمنٹ فریم ورک ہے، جو کئی مکمل اسٹیک اجزاء فراہم کرتا ہے۔ یہ عمل کو آسان بنانے کے لیے ڈیزائن کیا گیا ہے…
"مجھے اپنا ارتقاء مکمل کرنے کے لیے واپس آنا چاہیے: میں اپنے آپ کو کمپیوٹر کے اندر پیش کروں گا اور خالص توانائی بنوں گا۔ ایک بار آباد ہو گئے…
گوگل ڈیپ مائنڈ اپنے مصنوعی ذہانت کے ماڈل کا ایک بہتر ورژن متعارف کروا رہا ہے۔ نیا بہتر ماڈل نہ صرف فراہم کرتا ہے…
Laravel، جو اپنے خوبصورت نحو اور طاقتور خصوصیات کے لیے مشہور ہے، ماڈیولر فن تعمیر کے لیے بھی ایک ٹھوس بنیاد فراہم کرتا ہے۔ وہاں…
Cisco اور Splunk صارفین کو مستقبل کے سیکیورٹی آپریشن سینٹر (SOC) تک اپنے سفر کو تیز کرنے میں مدد کر رہے ہیں…