Sama seperti mesin menjadi kurang dapat diandalkan seiring bertambahnya usia dan orang mengembangkan lebih banyak masalah kesehatan seiring bertambahnya usia, perangkat lunak tampaknya lebih cenderung memiliki kelemahan keamanan di kemudian hari.
Sebuah laporan baru dari perusahaan pengujian keamanan Veracode menunjukkan bahwa sementara 32 persen aplikasi ditemukan memiliki kekurangan pada pemindaian pertama, pada saat mereka diproduksi selama lima tahun, hampir 70 persen mengandung setidaknya satu kelemahan keamanan.
Laporan tersebut menyarankan tim harus memprioritaskan perbaikan di awal siklus hidup pengembangan perangkat lunak untuk meminimalkan risiko yang disebabkan oleh akumulasi cacat.
Chris Eng, chief research officer di Veracode, mengatakan, “Seperti semua penelitian kami, kami berangkat untuk memberikan wawasan yang dapat langsung diterapkan oleh pengembang. Dari temuan tahun ini, muncul dua pertimbangan penting: cara menurunkan kemungkinan kekurangan diperkenalkan pertama kali, dan bagaimana mengurangi jumlah kelemahan yang diperkenalkan. Selain kontrol akses teknis, praktik pengkodean yang aman menjadi semakin penting untuk keamanan siber pada tahun 2023 dan seterusnya.”
Setelah pemindaian awal, aplikasi dengan cepat memasuki ‘periode bulan madu’ stabilitas, dan hampir 80 persen tidak memiliki kelemahan baru sama sekali selama 1,5 tahun pertama. Namun, setelah titik ini, jumlah cacat baru yang diperkenalkan mulai naik lagi menjadi kira-kira 35 persen dalam lima tahun. Pada saat sebuah perangkat lunak mencapai titik 10 tahun, ada kemungkinan 90 persen perangkat lunak itu memiliki setidaknya satu kekurangan.
Tim riset Veracode juga memeriksa 30.000 repositori sumber terbuka yang dihosting secara publik di GitHub. Menariknya, 10 persen repositori tidak memiliki komitmen — perubahan kode sumber — selama hampir enam tahun.
“Menggunakan solusi analisis komposisi perangkat lunak (SCA) yang memanfaatkan banyak sumber untuk kelemahan, di luar Basis Data Kerentanan Nasional, akan memberikan peringatan dini kepada tim begitu kerentanan terungkap dan memungkinkan mereka menerapkan perlindungan lebih cepat, semoga sebelum eksploitasi dimulai,” tambah Eng. “Menetapkan kebijakan organisasi seputar deteksi dan manajemen kerentanan juga disarankan, serta mempertimbangkan cara untuk mengurangi ketergantungan pihak ketiga.”
Laporan tersebut merekomendasikan agar tim keamanan dan pengembang harus menangani utang teknis atau keamanan sedini dan secepat mungkin. Mereka juga harus memprioritaskan otomatisasi dan pelatihan keamanan pengembang untuk memberikan pemahaman tentang kerentanan mana yang paling mungkin diperkenalkan, serta teknik untuk menghindari munculnya kelemahan sama sekali.
Anda bisa mendapatkan laporan lengkap dari situs Veracode.
Kredit Foto: andriano.cz/Shutterstock
